Drupal anunció actualizaciones de software esta semana que resuelven un total de cuatro vulnerabilidades en el núcleo de Drupal y tres complementos, lo que podría conducir al acceso no autorizado a los datos.
El principal problema de Drupal existe porque el módulo de la biblioteca multimedia no realiza comprobaciones adecuadas en el acceso a la entidad en algunos casos, lo que podría permitir a los usuarios que pueden editar contenido ver metadatos sobre elementos multimedia a los que no deberían tener acceso.
Un problema similar afecta al complemento Elemento API de formulario de biblioteca multimedia, que admite el uso de la biblioteca multimedia en formularios personalizados, sin tener que usar el widget de biblioteca multimedia.
Según Drupal, ambas vulnerabilidades están «mitigadas por el hecho de que los medios inaccesibles solo serán visibles para los usuarios que ya pueden editar contenido que incluye un campo de referencia de medios».
La tercera falla, que se solucionó en el complemento Media Library Block, que admite la representación de entidades de medios en un bloque, tiene una causa raíz similar: la verificación incorrecta del acceso a los medios en ciertas circunstancias.
La vulnerabilidad podría permitir a los usuarios ver medios sin permiso, siempre que se coloque un bloque que contenga medios restringidos en una página. Para mitigar el error, los administradores pueden eliminar los bloques que hacen referencia a los medios con restricciones de acceso.
La cuarta vulnerabilidad se identificó en el complemento Entity Browser, que permite a los usuarios «seleccionar entidades de los campos de referencia de entidades utilizando un widget de navegador personalizado».
En algunos casos, la falta de controles de acceso a la entidad adecuados puede permitir que los usuarios que tienen acceso para editar contenido vean los metadatos de la entidad sin permiso. Solo los usuarios que pueden editar contenido usando el navegador de la entidad podrán ver los metadatos.
Los problemas se han resuelto con el lanzamiento de las versiones de Drupal 10.0.2, 9.5.2 y 9.4.10, Media Library Form API Element versión 2.0.6, Media Library Block versión 1.0.4 y Entity Browser versión 8.x-2.9.
Drupal calificó estas vulnerabilidades con una calificación de gravedad «moderadamente crítica», que equivale aproximadamente a «gravedad media». Puede encontrar más información sobre los problemas resueltos en la página de seguridad del producto de Drupal.
Relacionado: Drupal actualiza la vulnerabilidad del parche en el motor de plantillas Twig
Relacionado: Ejecución de código y otras vulnerabilidades corregidas en Drupal
Relacionado: Drupal corrige fallas en bibliotecas de terceros de «alto riesgo»