Introducció
S’han publicat nous pegats per a diverses versions de Drupal que solucionen diverses vulnerabilitats relacionades amb la llibreria jQuery UI [1] [2].
Anàlisi
Les noves vulnerabilitats identificades són les següents:
CVE-2021-41184 [3]: en versions de jQuery UI anteriors a la 1.13.0, acceptar el valor de l’opció ‘of’ de la utilitat ‘.position()’ de fonts no confiables pot executar un codi no confiable. El problema s’ha solucionat en jQuery UI 1.13.0. Qualsevol valor de cadena passat a l’opció ‘of’ es tracta ara com un selector CSS. Una solució és no acceptar el valor de l’opció ‘of’ de fonts no confiables.
CVE-2021-41183 [4]: en versions de jQuery UI anteriors a la 1.13.0, acceptar el valor de diverses opcions ‘*Text’ del giny Datepicker des de fonts no fiables podia executar un codi no fiable. El problema s’ha solucionat en jQuery UI 1.13.0. Els valors passats a diverses opcions ‘*Text’ són ara tractats sempre com a text pur, no com a HTML. Una solució és no acceptar el valor de les opcions ‘*Text’ de fonts no confiables.
CVE-2021-41182 [5]: acceptar el valor de l’opció ‘altField’ del giny Datepicker des de fonts no confiables pot executar un codi no confiable. El problema s’ha solucionat en jQuery UI 1.13.0. Qualsevol valor de cadena passat a l’opció ‘altField’ es tracta ara com un selector CSS. Una solució és no acceptar el valor de l’opció ‘altField’ de fonts no confiables.
CVE-2016-7103 [6]: una vulnerabilitat Cross-site scripting (XSS) en versions de jQuery UI anteriors a la 1.12.0 podria permetre als atacants remots injectar seqüències de comandos web o HTML arbitraris a través del paràmetre closeText de la funció de diàleg.
CVE-2010-5312 [7]: una vulnerabilitat Cross-site scripting (XSS) en versions de jQuery UI anteriors a la 1.11.0 podria permetre als atacants remots injectar seqüències d’ordres web o HTML arbitraris a través del paràmetre closeText de la funció de diàleg.
Recomanacions
S’han publicat pegats per a diverses versions que solucionen aquestes vulnerabilitats:
- Si utilitzes Drupal 9.3, actualitza a Drupal 9.3.3. [8]
- Si utilitzes Drupal 9.2, actualitza a Drupal 9.2.11. [9]
- Si utilitzes Drupal 7, actualitza a Drupal 7.86. [10]
Referències
[1] https://www.drupal.org/sa-core-2022-001
[2] https://www.drupal.org/sa-core-2022-002
[3] https://nvd.nist.gov/vuln/detail/CVE-2021-41184
[4] https://nvd.nist.gov/vuln/detail/CVE-2021-41183
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-41182
[6] https://nvd.nist.gov/vuln/detail/CVE-2016-7103
[7] https://nvd.nist.gov/vuln/detail/CVE-2010-5312
[8] https://www.drupal.org/project/drupal/releases/9.3.3
[9] https://www.drupal.org/project/drupal/releases/9.2.11
[10] https://www.drupal.org/project/drupal/releases/7.86