[Gutl-l] Fw: Dos vulnerabilidades en Drupal [Hispasec @unaaldia]

Mon, 20 Jun 2016 10:15:38 -0700 

----- Forwarded message from Salcocho Noticioso <feedblas...@hcg.sld.cu> -----

Date: Sun, 19 Jun 2016 23:00:06 -0400
From: Salcocho Noticioso <feedblas...@hcg.sld.cu>
To: laz...@hcg.sld.cu
Subject: Dos vulnerabilidades en Drupal [Hispasec @unaaldia]
X-Mailer: feedblaster.rb - ruby 2.3.1p112 (2016-04-26 revision 54768) 
[x86_64-linux]

Dos vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha publicado un boletín de seguridad
calificado como moderadamente crítico, en el que se solucionan dos
vulnerabilidades. 

[drupal]
Drupal es un CMF (Content Management Framework) modular multipropósito y muy
configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación
de artículos, imágenes, y otro tipo de archivos con servicios añadidos como
foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

En primer lugar se ha solucionado una vulnerabilidad en el módulo de usuarios
de Drupal 7 debido a que al guardar bajo determinadas condiciones se pueden
asignar a un usuario todos los roles del sitio. Lo que podría permitir a un
usuario conseguir permisos administrativos.

Por otra parte, un segundo problema en el modulo de Vistas de Drupal 7 y 8 que
podría permitir a usuarios sin autorización visualizar información del módulo
de estadísticas.

En Drupal 7 no afecta al Core, pero si se usa el modulo Vistas de Drupal 7.x,
se debe actualizar este módulo a la versión Views 7.x-3.14.

Se ven afectadas las versiones versiones 7.x anteriores a 7.44 y versiones 8.x
anteriores a 8.1.3. Se recomienda la actualización a las versiones Drupal 7.44
y Drupal 8.1.3.
https://www.drupal.org/project/drupal/releases/7.44
https://www.drupal.org/project/drupal/releases/8.1.3

Más información:

Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-002
https://www.drupal.org/SA-CORE-2016-002

Views - Less Critical - Access Bypass - SA-CONTRIB-2016-036
https://www.drupal.org/node/2749333

views 7.x-3.14
https://www.drupal.org/node/2749373

                                                                 Antonio Ropero
                                                          anton...@hispasec.com
                                                              Twitter: @aropero



*

----- End forwarded message -----

-- 
-------- Warning! ------------
100'000 pelos de escoba fueron
introducidos satisfactoriamente
en su puerto USB.


______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Responder a