CSIRT Panamá Aviso 2018-04-19 Drupal- CKEditor lanza parche de seguridad
Gravedad: Crítica
Fecha de publicación: 19 abril 2018
Fecha de modificación: 19 abril 2018
Última revisión: Revisión A.
Fuente: www.drupal.org, ckeditor.com
Sistemas Afectados
Drupal 8, CKEditor 4.5.11 y posterior.
I. Descripción
CKEditor, es una biblioteca de JavaScript de terceros incluida en el núcleo de Drupal, el cual anuncio el lanzamiento de CKEditor 4.9.2 que contiene una solución de seguridad que corrige una vulnerabilidad de XSS (Cross Site Scripting) que se podían ejecutar, utilizando las etiquetas <imag> del CKEditor.
I. Mitigación
• Si está utilizando Drupal 8, actualice a Drupal 8.5.2 o Drupal 8.4.7 .
• El módulo contribuido Drupal 7.x CKEditor no se ve afectado si está ejecutando el módulo 7.x-1.18 de CKEditor y está usando CKEditor desde la CDN, ya que actualmente utiliza una versión de la biblioteca CKEditor que no es vulnerable.
• Si instaló CKEditor en Drupal 7 utilizando otro método (por ejemplo, con el módulo WYSIWYG o el módulo CKEditor con CKEditor localmente) y está usando una versión de CKEditor desde 4.5.11 hasta 4.9.1, actualice el JavaScript descargando CKEditor 4.9.2 del sitio de CKEditor .
• https://ckeditor.com/ckeditor-4/download/
II. Referencia a soluciones, herramientas e información
https://ckeditor.com/blog/CKEditor-4.9.2-with-a-security-patch-released/
https://www.drupal.org/sa-core-2018-003
III. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa