Vulnerabilidad del Modulo de administracion de la Base de datos de Drupal

Imagen de isacnet

Forums: 

Impacto: Secuestro

Descripcion:

Algunas vulnerabilidades han sido reportadas en el Modulo Administracion de la Base de datos (dba), el cual puede ser explotado por personas maliciosas que pueden conducir a una intercepcion de tu pagina web y poder falsificar tu sitio.

1) El modulo dba esteriliza incorrectamente el resultado de varias consultas a la base de datos antes de regresarselas al usuario. Esto puede ser explotado para ejecutar codigo HTML o scripts en la sesion del browser del usuario en el contexto del sitio afectado.

2) El modulo dba no realiza un uso apropiado del Formulario API de Drupal, el cual puede ser aprovechado para realizar ciertas acciones via flasificacion de peticiones cross-site.

Las vulnerabilidades estan reportadas en todas las versiones 4.7.x-1.* versiones previas a 4.7.x-1.2 y todas las versiones 4.6.x-*

Solucion:
Actualizar a 4.7.x.-1.2.
http://drupal.org/node/135552

Derek Wright, Equipo de Seguridad de Drupal
Heine Deelstra, Equipo de Seguridad de Drupal

Y no solo con drupal...

Imagen de antares

Y no solo con drupal... siendo más generales es mejor actualizar el software apenas uno encuentre que se publicó una actualización, precisamente porque resuelven bugs y temas de seguridad.

Saludos.

Saludos,

antares