El equipo de seguridad de Drupal ha solucionado, en las ramas Drupal Core 6 y 7, varias vulnerabilidades clasificadas como críticas o moderadamente críticas; que podrían permitir a un atacante causar denegación de servicio, salto de restricciones y XSS.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. 

 
A continuación se describen los fallos: 
 
* Denegación de servicio en el sistema base La característica multisitio determina dinámicamente que fichero de configuración usar basándose en la cabecera HTTP Host. Debido a un fallo de validación de dicha cabecera se podría causar una denegación de servicio. También afecta a los sitios web que no tengan activa esa característica. 
 
* Salto de restricciones de seguridad en el módulo File Existe un error en el módulo File al no comprobar los permisos cuando se adjunta un fichero previamente subido, pudiendo así obtener acceso a ficheros no permitidos. Afecta solo a Drupal 7. 
 
* Cross-site scripting en la API de formularios Vulnerabilidad de tipo XSS en la API de formularios al no verificar correctamente elementos de tipo ‘select’. 
 
* Cross-site scripting en el sistema ajax Vulnerabilidad de tipo XSS no persistente en formularios que contengan un campo de tipo ‘file’ y un campo de tipo texto con ajax habilitado. 
Afecta solo a Drupal 7. 
 
Está pendiente la asignación de CVEs. 
 
Se recomienda actualizar a las versiones Drupal core 6.32 o Drupal core 7.29. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2014/07/boletin-de-seguridad-para-drupal.html#comments
 
Más información:
 
SA-CORE-2014-003 – Drupal core – Multiple vulnerabilities
https://www.drupal.org/SA-CORE-2014-003

Fuente:
Fernando Castillo
fcastillo@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar