El equipo de seguridad de Drupal publicó el pasado 26 de mayo un aviso de seguridad y su correspondiente solución de una nueva vulnerabilidad de criticidad media, la explotación de la misma provocaría un ataque Cross Site Scripting (XSS).
Análisis
Esta vulnerabilidad se puede explotar sobre servidores Drupal debido a que el core utiliza la biblioteca CKEditor de terceros que contiene un error en el análisis de HTML que podría provocar un ataque XSS. Para la explotación de la misma también se indica que el atacante debería proporcionar una ruta específica a la víctima y esta además debe tener permisos básicos a nivel de usuario. Por último, indicar que este problema solo afecta a los sitios con CKEditor activado.
Productos afectados
-
- Versiones Drupal anteriores a la 9.1, 9.0 y 8.
Recomendaciones
Se recomienda aplicar las actualizaciones que indican desde Drupal:
-
- Si está utilizando Drupal 9.1, actualice a Drupal 9.1.9
- Si está utilizando Drupal 9.0, actualice a Drupal 9.0.14
- Si está utilizando Drupal 8.9, actualice a Drupal 8.9.16
- Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil y no reciben cobertura de seguridad.
Para la librería CKEditor:
-
- Actualizar a la versión 4.16.1 y posteriores.
Referencias
(1) https://www.drupal.org/sa-core-2021-003
(2) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-el-core-drupal-3