Boletín de seguridad para Drupal

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El boletín en cuestión, SA-CORE-2018-006, afecta a la versión 7 y 8 de Drupal. Actualmente las vulnerabilidades no cuentan con ningún CVE, son las siguientes:

La primera vulnerabilidad, de severidad moderada, es debida a que el chequeo de moderación de contenido puede fallar permitiendo a un usuario tener acceso a ciertas transiciones. En la solución se ha visto modificado el servicio ‘ModerationStateConstraintValidator’ y la interfaz ‘StateTransitionValidationInterface’ que podría causar un problema de retrocompativilidad.

La segunda vulnerabilidad de severidad moderada, se encuentra en el módulo de rutas, el cual podría permitir a un usuario con administración de rutas, causar una redirección a través de una inyección especialmente manipulada.

La tercera vulnerabilidad se encuentra en la función ‘RedirectResponseSubscriber::sanitizeDestination’, que bajo ciertas circunstancias no procesa adecuadamente el parámetro ‘destination’ y podría ser utilizado para causar una redirección web maliciosa a través de la manipulación del parámetro ‘destination’.

La cuarta vulnerabilidad, y primera crítica del boletín, se encuentra en una limpieza errónea de las variables de ‘Shell’ en la función ‘DefaultMailSystem::mail’ que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

La última vulnerabilidad se encuentra en la validación de enlaces contextuales, la cual no valida adecuadamente los enlaces solicitados y podría causar una ejecución de código arbitrario a través de una solicitud de un enlace especialmente manipulado.

Las vulnerabilidades han sido corregidas en las versiones 7.60, 8.6.2 y 8.5.8.