Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal específicamente en su versión 9.

Recursos afectados: 

Drupal, versiones anteriores a la 9.3.12 y 9.2.18.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Drupal 7 no se ve afectado.

Descripción:

• La API de formularios del núcleo de Drupal tiene una vulnerabilidad en la que ciertos formularios de módulos contribuidos o personalizados pueden ser vulnerables a una validación de entrada inadecuada. Esto podría permitir a un atacante inyectar valores no permitidos o sobrescribir datos. Los formularios afectados son poco comunes pero, en ciertos casos, un atacante podría alterar datos críticos o sensibles. Se ha asignado el identificador CVE-2022-25271 para esta vulnerabilidad.
• Drupal 9.3 implementó una API de acceso a entidades genéricas para las revisiones de entidades que no se integró completamente con los permisos existentes, lo que podría permitir la derivación de acceso para los usuarios que pueden utilizar revisiones de contenido, pero que no tienen acceso a elementos individuales de contenido de nodos y medios. Esta vulnerabilidad sólo afecta a los sitios que utilizan el sistema de revisión de Drupal.

Recomendaciones:

• Actualizar Drupal 9.3 a la versión 9.3.12;
• Actualizar Drupal 9.2 a la versión 9.2.18.

Referencias:

• https://www.drupal.org/sa-core-2022-008
• https://www.drupal.org/sa-core-2022-009