L’equip de seguretat de Drupal va publicar el passat 26 de maig un avís de seguretat i la seua corresponent solució d’una nova vulnerabilitat de criticitat mitjana, la seua explotació provocaria un atac Cross Site Scripting (XSS).
Anàlisi
Aquesta vulnerabilitat es pot explotar sobre servidors Drupal pel fet que el core utilitza la biblioteca CKEditor de tercers, que conté un error en l’anàlisi d’HTML que podria provocar un atac XSS. Per a la seua explotació també s’indica que l’atacant hauria de proporcionar una ruta específica a la víctima i aquesta a més ha de tindre permisos bàsics en l’àmbit d’usuari. Finalment, indicar que aquest problema sol afecta els llocs amb CKEditor activat.
Productes afectats
- Versions Drupal anteriors a la 9.1, 9.0 i 8.
Recomanacions
Es recomana aplicar les actualitzacions que indiquen des de Drupal:
- Si està utilitzant Drupal 9.1, actualitzeu a Drupal 9.1.9
- Si està utilitzant Drupal 9.0, actualitzeu a Drupal 9.0.14
- Si està utilitzant Drupal 8.9, actualitzeu a Drupal 8.9.16
- Les versions de Drupal 8 anteriors a la 8.9.x estan al final de la seua vida útil i no reben cobertura de seguretat.
Per a la llibreria CKEditor:
- Actualitzeu a la versió 4.16.1 i posteriors.
Referències
(1) https://www.drupal.org/sa-core-2021-003
(2) https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/vulnerabilidad-el-core-drupal-3