Múltiples vulnerabilidades en módulos de Drupal
Los siguientes módulos de Drupal están afectados por las vulnerabilidades reportadas:
- AI Automators, versiones anteriores a la 1.0.5.
- Two-factor Authentication (TFA), versiones anteriores a la 1.10.0.
Varios investigadores han reportado 3 vulnerabilidades: una de severidad crítica y 2 de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código o eludir la autenticación de doble factor.
Las vulnerabilidades han sido solucionadas por el equipo de Drupal, se recomienda actualizar a la última versión disponible de los módulos afectados.
El módulo AI Automators permite crear diferentes tareas automatizadas que rellenan datos de campo utilizando salidas LLM. El módulo no sanea suficientemente la entrada, lo que podría permitir a un atacante ejecutar comandos arbitrarios.
Por el momento no se ha asignado un identificador CVE para esta vulnerabilidad de severidad crítica, ni para las de severidad alta.