El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como crítico, en el que se solucionan tres vulnerabilidades.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.
Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.
Se ven afectadas las versiones 8.x anteriores a 8.1.10. Se recomienda la actualización a la versión Drupal 8.1.10.
Más información:
Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004
Antonio Ropero
Twitter: @aropero
Via:unaaldia.hispasec.com