Se ha conocido una vulnerabilidad en el core del Sistema de Gestión de Contenidos Drupal, que provoca que la función de descarga de archivos no depure las rutas de estos en ciertas situaciones. Esto puede dar lugar a que los usuarios obtengan acceso a archivos privados a los que no deberían tener acceso.
 
Se ha asignado el identificador CVE-2023-31250 para esta vulnerabilidad.
 
Recursos afectados:

• Servidores web de Windows y Linux, versión 7.
• Ciertos módulos de acceso a archivos personalizados o contribuido en versiones 9 y 10.

Recomendaciones:
 
Actualizar a la última versión:

• Drupal 10.0, actualizar a Drupal 10.0.8.
• Drupal 9.5, actualizar a Drupal 9.5.8.
• Drupal 9.4, actualizar a Drupal 9.4.14.
• Drupal 7, actualizar a Drupal 7.96.

 
Referencias:

•  https://www.drupal.org/sa-core-2023-005