El equipo de seguridad de Drupal ha solucionado varios errores de seguridad catalogados como ‘altamente críticos’, el máximo nivel en su escala de riesgo al ser remotamente explotables y sin necesidad de interacción con el usuario.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos. 
 
Las vulnerabilidades se detallan a continuación: 
 
CVE-2013-6385
Múltiples errores en la validación contra ataques CSRF en la API de formularios que podrían permitir la ejecución de funciones no seguras. 
 
CVE-2013-6386
Varios fallos en la función mt_rand() podrían generar números pseudoaleatorios predecibles. Dicha función es usada en múltiples módulos del núcleo de Drupal. 
 
CVE-2013-6387
Algunos campos de descripción de imágenes no son correctamente saneados en el módulo Image pudiendo realizarse un ataque XSS. 
 
CVE-2013-6388
Falta de comprobación de valores también en el módulo Color que podría ser aprovechado para realizar un ataque XSS no persistente. 
 
CVE-2013-6389
Error de validación de URLs en el módulo Overlay usado en el panel de administración que podría permitir una redirección HTTP no deseada. 
 
También se ha corregido un salto de restricciones de seguridad en la función drupal_valid_token() a través de un token que no sea de tipo cadena y otro fallo de configuración en los archivos ‘.htaccess’ 
proporcionados por Drupal que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. 
 
Afecta a las versiones 6.x anteriores a 6.29 y 7.x anteriores a 7.24, se recomienda su inmediata actualización. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/11/multiples-vulnerabilidades-en-drupal.html#comments
 
Más información:
 
SA-CORE-2013-003 – Drupal core – Multiple vulnerabilities
https://drupal.org/SA-CORE-2013-003

Fuente:
Fernando Castillo
fcastillo@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar