Boletín de Seguridad UNAM-CERT-2022-011 Actualizaciones de seguridad liberadas para Drupal (SA-CORE-2022-004)
Fecha liberación:
16/02/2022
Fuente:
https://www.drupal.org/sa-core-2022-004
Riesgo:
Medio
Descripción
El módulo QuickEdit no verifica correctamente el acceso a la entidad en algunas circunstancias.
Los sitios solo se ven afectados si está instalado el módulo QuickEdit (que viene con el perfil estándar).
Consulte también el aviso de seguridad SA-CONTRIB-2022-025 que aborda la misma vulnerabilidad.
Sistemas afectados
- Drupal 9
Vulnerabilidad
Divulgación de información (Information disclosure)
Impacto
Esto podría permitir que los usuarios con el permiso de "acceder a la edición en el lugar" vean algún contenido al que no están autorizados a acceder.
Solución
Aplicar las actualizaciones
- Si utiliza Drupal 9.3, actualizar a Drupal 9.3.6
- Si utiliza Drupal 9.2, actualizar a Drupal 9.2.13
Todas las versiones de Drupal 9 y versiones anteriores a Drupal 9.2.x están al final de su ciclo de vida y no reciben actualizaciones de seguridad.
Nota: Drupal 8 ha llegado al final de su vida (PSA-2021-06-29)
El núcleo de Drupal 7 no incluye el módulo QuickEdit y por lo tanto no es afectada.
Desinstalar el módulo de QuickEdit podría mitigar esta vulnerabilidad. Administradores de sitios pueden considerar esta opción debido a que el módulo QuickEdit se eliminará del núcleo en Drupal 10.
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:
- Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69