El equipo de desarrollo de Drupal ha publicado actualizaciones de seguridad importantes para su herramienta de administración de contenido de código abierto. Estas actualizaciones corrigen una vulnerabilidad moderadamente crítica, identificada como CVE-2020-13670. El boletín de seguridad sa-core-2020-011 reporta sobre los fallos de seguridad presentes en el CMS, detallando que un atacante podría obtener acceso a los metadatos de un archivo privado al que no tiene acceso adivinando el ID del archivo.
Los productos afectados son:
- CMS Drupal en sus versiones 8.8.x.
- CMS Drupal en sus versiones 8.9.x
- CMS Drupal en sus versiones 9.0.x.
Se recomienda realizar la siguiente acción con carácter inmediato: actualización del CMS Drupal a su última versión:
- Si está ejecutando Drupal 8.8.x, actualizar a Drupal 8.8.10
- Si está ejecutando Drupal 8.9.x, actualizar a Drupal 8.9.6
- Si está ejecutando Drupal 9.0.x, actualizar a Drupal 9.0.6
Tomar en cuenta que las versiones Drupal 8 anteriores a 8.8.x están fuera de soporte y no recibirán actualizaciones de seguridad. Aquellos sitios con versiones 8.7.x y anteriores, deberán ser migrados a la versión 8.8.10
Referencias: