Boletines de Vulnerabilidades |
Actualización de seguridad 7.14 de Drupal |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Probado |
Impacto | Denegación de Servicio |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto con cuenta |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado | Versiones de Drupal 7.x anteriores a la 7.13. |
Descripción |
|
La nueva versión, además de solventar varios bugs, resuelve las siguientes vulnerabilidades: CVE-2012-1588: vulnerabilidad de denegación de servicio en la funcionalidad de eliminación de etiquetas HTML erróneas y de conversión automática a enlace debido al tratamiento ineficiente de determinadas cadenas de texto. CVE-2012-1589: el API de los formularios permite configurar una URL de destino externa lo que posibilita una redirección maliciosa a un sitio web externo con las credenciales de acceso. CVE-2012-1590: error en la comprobación de acceso permite visualizar metadatos de posts del foro despublicados. CVE-2012-1591: vulnerabilidad que permite acceder a imágenes derivadas para las que no se tiene permiso. CVE-2012-2153: vulnerabilidad que permite acceder a la lista de nodos de "admin/content" en portales que ejecuten un módulo de acceso a nodos contributivo por usuarios con el rol "view content overview". |
|
Solución |
|
Actualizar a la versión 7.14 de Drupal | |
Identificadores estándar |
|
Propiedad | Valor |
CVE |
CVE-2012-1588 CVE-2012-1589 CVE-2012-1590 CVE-2012-1591 CVE-2012-2153 |
BID | |
Recursos adicionales |
|
Aviso de seguridad del Instituto Nacional de Tecnologías de la Comunicación http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/actualizacion_seguridad_714_drupal_20120503 Publicación en el Centre de Seguretat TIC de la Comunitat Valenciana http://www.csirtcv.gva.es/es/alertas/actualizaci%C3%B3n-de-seguridad-714-de-drupal.html |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2012-05-09 |