El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se soluciona una vulnerabilidad que podría permitir a un atacante evitar los controles de acceso.
El problema, con CVE-2017-6919 y considerado crítico, consiste en un salto del acceso. Un sitio solo se ve afectado si se cumplen las siguientes condiciones: el sitio tiene activo el módulo RESTful Web Services, permite peticiones PATCH y el atacante puede tener o registrar una cuenta de usuario en el sitio.
Se ven afectadas las versiones 8.x anteriores a 8.2.8 y 8.3.1. Se recomienda la actualización a las versiones Drupal 8.2.8 o 8.3.1.
Cabe señalar, que aunque Drupal no proporciona actualizaciones de seguridad para versiones menores no soportadas, dada la gravedad del problema han proporcionado una versión 8.2.x. De esta forma todos los sitios que no han tenido oportunidad de actualizar a 8.3.0 pueden evitar el problema.
Más información:
Drupal Core - Critical - Access Bypass - SA-CORE-2017-002
Antonio Ropero
Twitter: @aropero
Via:unaaldia.hispasec.com