Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en módulos de Drupal

Fecha de publicación 06/03/2025
Identificador
INCIBE-2025-0124
Importancia
5 - Crítica
Recursos Afectados

Los siguientes módulos de Drupal están afectados por las vulnerabilidades reportadas:

  • AI Automators, versiones anteriores a la 1.0.5.
  • Two-factor Authentication (TFA), versiones anteriores a la 1.10.0.
Descripción

Varios investigadores han reportado 3 vulnerabilidades: una de severidad crítica y 2 de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código o eludir la autenticación de doble factor.

Solución

Las vulnerabilidades han sido solucionadas por el equipo de Drupal, se recomienda actualizar a la última versión disponible de los módulos afectados.

Detalle

El módulo AI Automators permite crear diferentes tareas automatizadas que rellenan datos de campo utilizando salidas LLM. El módulo no sanea suficientemente la entrada, lo que podría permitir a un atacante ejecutar comandos arbitrarios.

Por el momento no se ha asignado un identificador CVE para esta vulnerabilidad de severidad crítica, ni para las de severidad alta.