Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.  

Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.

Se ven afectadas las versiones 8.x anteriores a 8.1.10. Se recomienda la actualización a la versión Drupal 8.1.10.

Drupal Core - Critical - Multiple Vulnerabilities - SA-CORE-2016-004

Antonio Ropero

Twitter: @aropero