(Por El Microsaurio) Dentro de Drupal suele cargarse el módulo FileField, que permite (dentro del Content Construction Kit) que se pueda armar un campo de subida de archivos al server (el famoso “upload”). Al programar ese módulo, se olvidaron de poner un control de cuáles serían los caracteres que el usuario pondría. Eso puede permitir un ataque donde un intruso podría modificar contenidos (o voltearte el site). Pero hay solución…
Vamos por partes. Software afectado:
- Módulo FileField en versiones anteriores a 5.x-2.5, si usás Drupal 5.x
- Módulo FileField en versiones anteriores a 6.x-3.4, si usás Drupal 6.x
Solución: actualizar el módulo FileField a 5.x-2.5 o 6.x-3.4, según corresponda. Agregan los mantenedores de Drupal, como para calmar a las fieras: “…el núcleo (core) de Drupal no está afectado; si usted no usa el módulo FileField, no necesita hacer nada…”
Como solemos hacer, en esta página del website de Drupal está el texto completo del Aviso de Seguridad correspondiente. Lean despacito, digieran, y si les cabe, actualicen.