CSIRT Panamá Aviso 2021-06-01 Drupal: Vulnerabilidad en el core de Drupal
Gravedad: Media
Fecha de publicación: Junio 1, 2021
Última revisión: Junio 1, 2021
Sitio web: https://www.drupal.org/
Sistemas Afectados: las versiones 9.1; 9.0; 8.9.
I. Descripción
Vulnerabilidades en productos Drupal, mediante la librería CKEditor un error en el análisis de HTML que podría conducir a un ataque XSS.
II. Impacto
El núcleo de Drupal utiliza la biblioteca de terceros CKEditor, esta librería tiene un error en el análisis de HTML que podría conducir a un ataque XSS.
III. Referencia a soluciones, herramientas e información
Actualizar las versiones de Drupal afectadas a las siguientes versiones:
- Drupal 9.1, actualizar a Drupal 9.1.9;
Enlace: https://www.drupal.org/project/drupal/releases/9.1.9 - Drupal 9.0, actualizar a Drupal 9.0.14;
Enlace: https://www.drupal.org/project/drupal/releases/9.0.14 - Drupal 8.9, actualizar a Drupal 8.9.16;
Enlace: https://www.drupal.org/project/drupal/releases/8.9.16 - las versiones de Drupal 8, anteriores a la 8.9.x, están al final de su vida útil y ya no reciben cobertura de seguridad.
Para la librería CKEditor:
1.Actualizar a la versión 4.16.1 y posteriores;
- Este problema se ve mitigado por el hecho de que solo afecta a los sitios con CKEditor activado. 8.9.
Fuentes:
- Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Vulnerabilidad en el core de Drupal. 27 de mayo del 2021. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-cisco-76
- CKEditor. Recopilado en: https://ckeditor.com/
- Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2021-003. 26 de mayo del 2021. Recopilado en: # https://www.drupal.org/sa-core-2021-003
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124