Vulnerabilidades en Drupal relacionadas con la librería jQuery UI

Introducción
Se han publicado nuevos parches para varias versiones de Drupal que solucionan varias vulnerabilidades relacionadas con la librería jQuery UI [1] [2].

 

Análisis
Las nuevas vulnerabilidades identificadas son las siguientes:

CVE-2021-41184 [3]: en versiones de jQuery UI anteriores a la 1.13.0, aceptar el valor de la opción ‘of’ de la utilidad ‘.position()’ de fuentes no confiables puede ejecutar código no confiable. El problema se ha solucionado en jQuery UI 1.13.0. Cualquier valor de cadena pasado a la opción ‘of’ se trata ahora como un selector CSS. Una solución es no aceptar el valor de la opción ‘of’ de fuentes no confiables.

CVE-2021-41183 [4]: en versiones de jQuery UI anteriores a la 1.13.0, aceptar el valor de varias opciones ‘*Text’ del widget Datepicker desde fuentes no fiables podía ejecutar código no fiable. El problema se ha solucionado en jQuery UI 1.13.0. Los valores pasados a varias opciones ‘*Text’ son ahora tratados siempre como texto puro, no como HTML. Una solución es no aceptar el valor de las opciones ‘*Text’ de fuentes no confiables.

CVE-2021-41182 [5]: aceptar el valor de la opción ‘altField’ del widget Datepicker desde fuentes no confiables puede ejecutar código no confiable. El problema se ha solucionado en jQuery UI 1.13.0. Cualquier valor de cadena pasado a la opción ‘altField’ se trata ahora como un selector CSS. Una solución es no aceptar el valor de la opción ‘altField’ de fuentes no confiables.

CVE-2016-7103 [6]: una vulnerabilidad Cross-site scripting (XSS) en versiones de jQuery UI anteriores a la 1.12.0 podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro closeText de la función de diálogo.

CVE-2010-5312 [7]: una vulnerabilidad Cross-site scripting (XSS) en versiones de jQuery UI anteriores a la 1.11.0 podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro closeText de la función de diálogo.

 

Recomendaciones
Se han publicado parches para varias versiones que solucionan estas vulnerabilidades:

      • Si utilizas Drupal 9.3, actualiza a Drupal 9.3.3. [8]
      • Si utilizas Drupal 9.2, actualiza a Drupal 9.2.11. [9]
      • Si utilizas Drupal 7, actualiza a Drupal 7.86. [10]

 

Referencias
[1] https://www.drupal.org/sa-core-2022-001
[2] https://www.drupal.org/sa-core-2022-002
[3] https://nvd.nist.gov/vuln/detail/CVE-2021-41184
[4] https://nvd.nist.gov/vuln/detail/CVE-2021-41183
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-41182
[6] https://nvd.nist.gov/vuln/detail/CVE-2016-7103
[7] https://nvd.nist.gov/vuln/detail/CVE-2010-5312
[8] https://www.drupal.org/project/drupal/releases/9.3.3
[9] https://www.drupal.org/project/drupal/releases/9.2.11
[10] https://www.drupal.org/project/drupal/releases/7.86