Drupal anunció el miércoles el lanzamiento de actualizaciones de seguridad para abordar algunas vulnerabilidades que podrían provocar la omisión de acceso y la sobrescritura de datos.
El primero de los errores corregidos con las últimas iteraciones del Sistema de gestión de contenido (CMS) de código abierto es un problema de omisión de acceso que existe debido a una API de acceso a entidad genérica mal implementada para las revisiones de entidad.
«Esta API no se ha integrado completamente con los permisos existentes, lo que resulta en una posible omisión de acceso para los usuarios que tienen acceso a revisiones de contenido en general, pero no tienen acceso a elementos de nodos individuales y contenido multimedia», dice Drupal.
La vulnerabilidad solo afecta a las versiones de Drupal 9.3 y solo afecta a los sitios donde se utiliza el sistema de revisión de Drupal.
[ READ: Oracle Releases 520 New Security Patches With April 2022 CPU ]
El segundo problema se identificó en la API de formulario central de Drupal y se describe como una validación de entrada deficiente en algunos formularios de módulos personalizados o contribuidos.
Debido a esta falla de seguridad, un atacante podría inyectar valores no autorizados o sobrescribir datos. Los formularios afectados son raros, pero Drupal señala que, en algunos casos, las fallas podrían permitir que un atacante modifique datos críticos o confidenciales.
«No sabemos qué formularios se ven afectados en el núcleo mismo, pero los formularios de proyectos personalizados y contribuidos podrían verse afectados», dice Drupal.
Ambas vulnerabilidades están clasificadas como «moderadamente críticas» y se recomienda a los usuarios que actualicen a una versión parcheada lo antes posible.
Los errores se han solucionado con el lanzamiento de Drupal 9.3.12 y Drupal 9.2.18. Las versiones de Drupal 9 anteriores a 9.2.x y Drupal 8 han alcanzado el estado de fin de vida útil (EOL) y no se actualizarán. Drupal 7 no se ve afectado.
Relacionado: Juniper Networks corrige vulnerabilidades en Contrail Networking, Junos OS
Relacionado: Omisiones de acceso múltiple, vulnerabilidades CSRF parcheadas en Drupal
Relacionado: Citrix corrige vulnerabilidades en varios productos
