Vulnerabilidades XSS en el core de Drupal

Fecha de publicación:

18/11/2021

Importancia:

3 - Media

Recursos afectados:

Drupal versión 9.2;
Drupal versión 9.1;
Drupal versión 8.9.

Descripción:

El líder técnico de CKSource Jacek Bogdański ha reportado dos vulnerabilidades por las que si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición WYSIWYG, un atacante que pudiera crear o editar contenido (incluso sin acceso al propio CKEditor) podría ser capaz de explotar una o más vulnerabilidades de Cross-Site Scripting (XSS).

Solución:

Drupal 9.2, actualizar a Drupal 9.2.9;
Drupal 9.1, actualizar a Drupal 9.1.14;
Drupal 8.9, actualizar a Drupal 8.9.20.

Detalle:

Vulnerabilidad en los comentarios HTML que permite ejecutar código JavaScript. Se ha asignado el identificador CVE-2021-41165 para esta vulnerabilidad.
Vulnerabilidad del Filtro de Contenido Avanzado (ACF) que permite ejecutar código JavaScript utilizando HTML malformado. Se ha asignado el identificador CVE-2021-41164 para esta vulnerabilidad.

Referencias:

Drupal core - Moderately critical - Cross-Site Scripting - SA-CORE-2021-011

Etiquetas:

Actualización

CMS

Vulnerabilidad

Accesos corporativos

Vulnerabilidades XSS en el core de Drupal

Múltiples vulnerabilidades en router Netgear Orbi

Múltiples vulnerabilidades en productos Aspera Faspex de IBM

Múltiples vulnerabilidades en Moodle

Vulnerabilidades 0day en chipsets Exynos de Samsung

Múltiples vulnerabilidades en el core de Drupal