Drupal publicó actualizaciones de seguridad para corregir varias vulnerabilidades de acceso de derivación en Drupal 8
El 16 de agosto Drupal publica actualizaciones de seguridad para corregir varias vulnerabilidades de acceso de derivación en Drupal 8. Las fallas afectan a varios componentes, incluyendo el sistema de acceso entidad, el API REST y algunos puntos de vista.La vulnerabilidad más grave parcheado con Drupal 8.3.7 es un tema crítico, seguimiento como CVE-2.017-6925 que afecta el sistema de acceso entidad. La falla CVE-2017-6925 puede ser explotado por un atacante para ver, crear, eliminar o actualizar entidades.
Sólo los impactos de defectos entidades que no tienen UUID y los que tienen diferentes restricciones de acceso en diferentes revisiones de la misma entidad.
“Existe una vulnerabilidad en el sistema de acceso a la entidad que podría permitir el acceso no deseado a ver, crear, actualizar o eliminar entidades. Esto sólo afecta a las entidades que no utilizan o no tienen UUID y entidades que tienen diferentes restricciones de acceso en diferentes revisiones de la misma entidad.” Segun el aviso de Drupal.
Otra vulnerabilidad de acceso de derivación parcheado en la última versión de Drupal 8, CVE-2.017-6.924, reside en la API del resto de E y podría ser aprovechado para la aprobación de derivación comentario.
“Al utilizar la API REST, los usuarios sin el permiso correcto pueden enviar mensajes a través de descanso que están aprobados incluso si el usuario no tiene permiso para enviar comentarios aprobados,” Drupal sigue. “Este problema sólo afecta a los sitios que tienen habilitado el módulo RESTful Web Services (reposo), el recurso REST comentario entidad habilitada, y donde un atacante puede acceder a una cuenta de usuario en el sitio con permisos para enviar comentarios, o donde los usuarios anónimos pueden enviar comentarios “.
Esta vulnerabilidad ha sido calificado, ya que sólo afecta a los sitios que tienen el módulo de Servicios Web REST y el comentario de los recursos REST entidad habilitada.
El aviso de seguridad añade que los atacantes necesitan tener acceso a una cuenta de usuario que se pueden hacer comentarios a desencadenar el problema, o la página web específica que permita a los comentarios de los usuarios anónimos.
Otro defecto clasificaro como moderadamente crítico solucionado en Drupal 8 es rastreado como CVE-2017 hasta 6923 y afecta al componente “vistas”.
“Al crear una vista, puede utilizar opcionalmente Ajax para actualizar los datos que se muestran a través de parámetros de filtro. El subsistema / módulo de vistas no restringió el acceso al punto final al Ajax sólo vistas configurados para usar Ajax. Esto se mitiga si tiene restricciones de acceso en la vista “, dijo Drupal. “Es una buena práctica incluir siempre algún tipo de restricciones de acceso en todos los puntos de vista, incluso si está utilizando otro módulo para mostrarlos.”
Fecha actualización el 2021-8-18. Fecha publicación el 2017-8-18. Categoría: Drupal. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs.