Omisión de acceso en el core de Drupal

Fecha de publicación 20/04/2023

Identificador

INCIBE-2023-0147

Importancia

3 - Media

Recursos Afectados

Servidores web de Windows y Linux, versión 7.
Ciertos módulos de acceso a archivos personalizados o contribuido en versiones 9 y 10.

Descripción

La explotación de esta vulnerabilidad podría dar lugar a que los usuarios obtengan acceso a archivos privados a los que no deberían tenerlo.

Solución

Instalar la última versión:

Drupal 10.0, actualizar a Drupal 10.0.8.
Drupal 9.5, actualizar a Drupal 9.5.8.
Drupal 9.4, actualizar a Drupal 9.4.14.
Drupal 7, actualizar a Drupal 7.96.

Detalle

La vulnerabilidad detectada provoca que la función de descarga de archivos no depure las rutas de estos en ciertas situaciones. Esto puede dar lugar a que los usuarios obtengan acceso a archivos privados a los que no deberían tener acceso.

Listado de referencias

Drupal core - Moderately critical - Access bypass - SA-CORE-2023-005

Etiquetas

Actualización
CMS
Vulnerabilidad