Drupal publica parches de seguridad para dos vulnerabilidades

Drupal ha lanzado parches de seguridad para vulnerabilidades de criticidad media que permitirían a un atacante acceder y modificar datos sensibles o críticos.

Las vulnerabilidades reportadas se detallan a continuación:

• CVE-2022-25270 de criticidad media, aún sin puntuación asignada. Esta vulnerabilidad se debe a que el módulo Quick Edit no comprueba correctamente el acceso a las entidades. Esto permitiría a un atacante con el permiso de “acceso a la edición in situ” visualizar información sensible y/o critica.
• CVE-2022-25271 de criticidad media, aún sin puntuación asignada. Esta vulnerabilidad se debe a la validación incorrecta de los datos de entrada en la API de formularios del core de Drupal, que podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos sensibles.

Los productos afectados son:

• Drupal versiones anteriores a la 9.3.6
• Drupal versiones anteriores a la 9.2.13
• Drupal versiones anteriores a la 7.88.

Recomendamos descargar las actualizaciones de las versiones correspondientes, proveídas por Drupal:

• Drupal 9.3, a la versión 9.3.6
• Drupal 9.2, a la versión 9.2.13.
• Drupal 7, a la versión 7.88.

Para la instalación de las actualizaciones seguir la siguiente guía proveída por el fabricante.

Referencias:

• https://nvd.nist.gov/vuln/detail/CVE-2022-25270
• https://nvd.nist.gov/vuln/detail/CVE-2022-25271
• https://www.drupal.org/sa-core-2022-003
• https://www.drupal.org/sa-core-2022-004