El equipo de seguridad del proyecto de código abierto Drupal ha publicado hoy 16 de septiembre varios boletines de seguridad para el núcleo del proyecto en sus versiones 7, 8 y 9, los boletines de seguridad es el producto del gran trabajo que realiza el proyecto por mantener las buenas prácticas de seguridad, como siempre, la recomendación es actualizar a la más reciente versión.
En total son cuatro boletines que vamos a describir a continuación para darle una mejor idea de lo que abarca cada uno de ellos.
SA-CORE-2020-007
Riesgo de seguridad: Moderadamente crítico en una escala de 14 sobre 25, de acuerdo a la clasificación recibida, el acceso a la vulnerabilidad es básica, el usuario solo debe seguir unos pasos, sin embargo solo puede ser realizada por ciertos usuarios autenticados que tengan unos niveles básicos de acceso, si se logra el acceso algunos datos no públicos podrían ser accedidos y modificados. A la fecha no se conocen exploits existentes para esta vulnerabilidad, tenga en cuenta que en caso de lograr explotar la vulnerabilidad se exponen muchas configuraciones.
Versiones afectadas: 7, 8 y 9
Tipo de vulnerabilidad: Cross Site Scripting, se trata de un tipo de vulnerabilidad muy conocida en las aplicaciones web en donde un atacante puede lograr inyectar en la página web objetivo código similar para acceder a información comúnmente por formularios o en lenguajes del lado del servidor.
Descripción: JSONP es una técnica de Javascript que permite solicitar datos usando la etiqueta