Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/03/2020
Si tenemos una versión vulnerable con el módulo CKEditor WYSIWYG habilitado, un atacante podría realizar ataques XXS cuando varias personas pueden editar los contenidos, incluyendo ataques a los administradores.
Las siguientes versiones de Drupal son vulnerables:
None
Solución:Actualizar a las versiones de Drupal 8.8.4 o 8.7.12 que ya tienen actualizado el módulo CKEditor a la versión 4.14.
Otra opción es desactivar este módulo hasta que podamos actualizar Drupal.
Notas:Enlace a la noticia en Drupal.