Inicio / Content / Boletín de INCIBE-CERT del 28-05-2021

Boletín de INCIBE-CERT del 28-05-2021

[Actualización 14/06/2021] Vulnerabilidad en el core de Drupal

Fecha de publicación: 
27/05/2021
Importancia: 
3 - Media
Recursos afectados: 

Versiones anteriores a:

  • 9.1;
  • 9.0;
  • 8.9.
Descripción: 

Descubierta en la librería CKEditor un error en el análisis de HTML que podría conducir a un ataque XSS.

Solución: 
  • Actualizar las versiones de Drupal afectadas a las siguientes versiones:
    • Drupal 9.1, actualizar a Drupal 9.1.9;
    • Drupal 9.0, actualizar a Drupal 9.0.14;
    • Drupal 8.9, actualizar a Drupal 8.9.16;
    • las versiones de Drupal 8, anteriores a la 8.9.x, están al final de su vida útil y ya no reciben cobertura de seguridad.
  • Para la librería CKEditor:
    • actualizar a la versión 4.16.1 y posteriores;
    • este problema se ve mitigado por el hecho de que solo afecta a los sitios con CKEditor activado.
Detalle: 

El núcleo de Drupal utiliza la biblioteca de terceros CKEditor. Esta librería tiene un error en el análisis de HTML que podría conducir a un ataque XSS.

[Actualización 14/06/2021]: Se ha asignado el CVE-2021-33829 a esta vulnerabilidad. Más detalles de la incidencia en el blog de CKeditor.

Encuesta valoración

Referencias: 
[Actualización 14/06/2021] Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-003
Etiquetas: 
Actualización
CMS
Vulnerabilidad