El equipo de seguridad de Drupal acaba de emitir varias alertas de seguridad sobre los módulos contribuidos 'Preview Link', 'Webform Table Element' e 'Image Annotator' entre otros.
Algunas de estos avisos han sido determinados como críticos como consecuencia que dichos módulos han sido clasificados como "No soportados" por haber cesado sus desarrolladores en el mantenimiento de los mismos. Entre estos nos encontramos:
- Anti Spam by CleanTalk.
- NodeAccess.
- Expand collapse formatter.
- Gridstack field.
- Image Annotator [Annotoriuos].
Image Annotator [Annotorious] - Critical - Unsupported - SA-CONTRIB-2019-006 https://t.co/rHjHLABZGc
— Drupal Security (@drupalsecurity) January 23, 2019
Webform Table Element - Critical - Unsupported - SA-CONTRIB-2019-005 https://t.co/LxRm70DstO
— Drupal Security (@drupalsecurity) January 23, 2019
Además de los anteriores, se han emitido alertas de seguridad, por diversas razones, en los siguientes módulos contribuidos:
- Panels Breadcrumbs.- Moderadamante crítico.
El módulo Panles Breadcrumbs nos permite añadir y gestionar las migas de pan directamente desde el panel de administración de Panels.
El módulo no sanitiza de manera adecuada estas configuraciones lo cual podría permitir un ataque del tipo XSS. Para solucionarlo se recomienda la actualización a la versión 7.x-2.4 o posterior. - Preview Link.- Moderadamente crítico.
El módulo Preview Link nos permite habilitar un link de vista previa para que usuarios no registrados puedan realizar revisiones de contenidos no publicados.
El módulo permitiría a usuarios sin los permisos necesarios presentar tokens no válidos y acceder de todas maneras a los contenidos aún no publicados.
Para solucionar dicho problema se ha publicado la versión Preview Link 8.x-1-1.
Preview Link - Moderately critical - Access bypass - SA-CONTRIB-2019-004 https://t.co/nZ9nM4MKTp
— Drupal Security (@drupalsecurity) January 23, 2019
Toda la información la podemos encontrar en el sitio web de Drupal Security Team.