El equipo de seguridad de Drupal ha emitido una alerta crítica de seguridad sobre el módulo contribuido Decoupled Router.
El módulo Decoupled Router nos permite resolver la ruta canónica (URL canónica) de un contenido incluso si utilizamos alias o redireccionamientos, lo cual es necesario si estamos desacoplando (decoupled) nuestra instalación.
Se ha detectado que el módulo no comprueba lo suficientemente los permisos antes de mostrar las etiquetas de entidad, por lo que puede llegar a mostrarlas incluso si no debieran ser accesibles, como son el caso de los títulos o contenido no publicado, lo cual supone un importante problema de seguridad.
Se ha publicado la versión Decoupled Router 8.x-1.2 que soluciona esta vulnerabilidad.
Toda la información la podemos encontrar en el sitio de Drupal Security Team.
Decoupled Router - Critical - Access bypass - SA-CONTRIB-2018- 071 https://t.co/OHvTp6kJRc
— Drupal Security (@drupalsecurity) October 31, 2018