Vulnerabilidad de Drupal Core

INTRODUCCIÓN

Drupal ha notificado una vulnerabilidad crítica en su core.

ANÁLISIS

El módulo Mediateca no comprueba correctamente el acceso a las entidades en algunas circunstancias. Esto puede provocar que los usuarios con acceso para editar contenido vean metadatos sobre elementos multimedia a los que no están autorizados a acceder.

La vulnerabilidad se mitiga por el hecho de que los medios inaccesibles solo serán visibles para los usuarios que ya puedan editar contenido que incluya un campo de referencia de medios.

Versiones afectadas:

• Versiones comprendidas entre la 8.0.0 (incluida) hasta la 9.4.10 (no incluida).
• Versiones comprendidas entre la 9.5.0 (incluida) hasta la 9.5.2 (no incluida).
• Versiones comprendidas entre la 10.0.0 (incluida) hasta la 10.0.2 (no incluida).

RECOMENDACIONES

Instale la última versión:

• Si utiliza Drupal 10.0, actualice a Drupal 10.0.2.
• Si utiliza Drupal 9.5, actualice a Drupal 9.5.2.
• Si utiliza Drupal 9.4, actualice a Drupal 9.4.10.

Todas las versiones de Drupal 9 anteriores a la 9.4.x están al final de su vida útil y no reciben cobertura de seguridad. Tenga en cuenta que Drupal 8 ha llegado al final de su vida útil.

El núcleo de Drupal 7 no incluye el módulo Mediateca y, por lo tanto, no se ve afectado.

En el apartado de Referencias puede ver cómo actualizar a cada versión citada anteriormente.

REFERENCIAS

https://www.drupal.org/sa-core-2023-001
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-critica-drupal
https://www.drupal.org/project/drupal/releases/10.0.2
https://www.drupal.org/project/drupal/releases/9.5.2
https://www.drupal.org/project/drupal/releases/9.4.10