Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidades en el core de Drupal

Vulnerabilidades en el core de Drupal

Fecha de publicación: 
21/05/2020
Importancia: 
3 - Media
Recursos afectados: 

Versiones anteriores a:

  • 8.8.6;
  • 8.7.14;
  • 7.70.
Descripción: 

Se han publicado dos vulnerabilidades de seguridad en jQuery que afectan a algunas versiones de Drupal. Así como una vulnerabilidad de redireccionamiento abierto en Drupal 7.

Solución: 

Actualizar a las versiones 8.8.6, 8.7.14 o 7.70.

Detalle: 
  • Dos vulnerabilidades de XXS en jQuery podrían permitir a un atacante ejecutar código no confiable al pasar un HTML de fuentes no confiables, incluso después de sanearlo, a uno de los métodos de manipulación DOM de jQuery (es decir, .html(), .append(), y otros). Se han asignado los identificadores CVE-2020-11022 y CVE-2020-11023 para estas vulnerabilidades.
  • Una vulnerabilidad de redireccionamiento abierto en Drupal 7, debida a una validación insuficiente del parámetro de consulta de destino en la función drupal_goto(), podría permitir a un atacante engañar a los usuarios para que visiten un enlace especialmente diseñado que los redirija a una URL externa arbitraria.

Encuesta valoración