El equipo de seguridad de Drupal ha emitido una alerta crítica de seguridad en el módulo contribuido Spamicide como consecuencia de una vulneración de permisos.
El módulo contribuido de Drupal Spamicide previene del envío de spam en formularios creando en ellos un campo oculto mediante CSS que, al ser rellenado por los boot de spam, hace que éste sea descartado automáticamente, ya que se considera que un campo oculto no es rellenado por un usuario humano.
Se ha detectado que la versión de este módulo para Drupal 7 no requiere de una manera apropiada lo permisos para páginas administrativas lo que puede provocar una vulneración de permisos de carácter crítico (Access Bypass). Para solucionar este problema se ha publicado la actualización Spamicide 7.x-1.3 para corregirlo, no viéndose afectada la versión 8.x del mismo.
Podemos encontrar toda la información sobre este amenaza de seguridad en el espacio web del Equipo de Seguridad de Drupal. Recuerda, la mayoría de problemas de seguridad que se producen en un sitio web tienen como origen en una falta de mantenimiento de los mismos. El problema ha sido detectado y corregido, ahora sólo nos corresponde a nosotros aplicar estas correcciones para proteger nuestro sitio y a nuestro usuarios. No nos llevará más de dos minutos.
Spamicide - Critical - Access bypass - SA-CONTRIB-2020-009 https://t.co/uvsZRlaw2Q
— Drupal Security (@drupalsecurity) April 8, 2020