Drupal ha lanzado parches de seguridad para vulnerabilidades de criticidad media que permitirían a un atacante acceder y modificar datos sensibles o críticos.
Las vulnerabilidades reportadas se detallan a continuación:
- CVE-2022-25270 de criticidad media, aún sin puntuación asignada. Esta vulnerabilidad se debe a que el módulo Quick Edit no comprueba correctamente el acceso a las entidades. Esto permitiría a un atacante con el permiso de “acceso a la edición in situ” visualizar información sensible y/o critica.
- CVE-2022-25271 de criticidad media, aún sin puntuación asignada. Esta vulnerabilidad se debe a la validación incorrecta de los datos de entrada en la API de formularios del core de Drupal, que podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos sensibles.
Los productos afectados son:
- Drupal versiones anteriores a la 9.3.6
- Drupal versiones anteriores a la 9.2.13
- Drupal versiones anteriores a la 7.88.
Recomendamos descargar las actualizaciones de las versiones correspondientes, proveídas por Drupal:
Para la instalación de las actualizaciones seguir la siguiente guía proveída por el fabricante.
Referencias: