CSIRT Panamá Aviso 2022-01-25 Drupal: Múltiples vulnerabilidades en el core de Drupal

Posted By: CSIRT Panamá January 26, 2022

CSIRT Panamá Aviso 2022-01-25 Drupal: Múltiples vulnerabilidades en el core de Drupal

Gravedad: Media
Fecha de publicación: Enero 25, 2022
Última revisión: Enero 25, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados: Drupal, versión 9.3, 9.2 y 7.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

I. Descripción

Drupal ha publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.

II. Impacto

Una librería de terceros utilizada por el core de drupal:

Vulnerabilidad: CVE-2021-41183

Acepta el valor de varias opciones *Text del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable.

Vulnerabilidad: CVE-2021-41182

Acepta el valor de la opción altField del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable.

Además, esta actualización de seguridad incluye correcciones para las siguientes vulnerabilidades no corregidas en versiones anteriores, provocadas por:

Vulnerabilidad: CVE-2016-7103

Una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jQuery UI, que podría permitir a un atacante remoto inyectar secuencias de comandos web o HTML arbitrarias a través del parámetro closeText de la función dialog.

Vulnerabilidad: CVE-2010-5312

Una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jquery.ui.dialog.js, en el widget Dialog en jQuery UI, que podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de la opción title.

III. Referencia a soluciones, herramientas e información

Aplicar los parches correspondientes según los productos afectados mediante los siguientes enlaces:

• Drupal 9.3, a la versión 9.3.3; enlace: https://www.drupal.org/project/drupal/releases/9.3.3
• Drupal 9.2, a la versión 9.2.11; enlace: https://www.drupal.org/project/drupal/releases/9.2.11
• Drupal 7, a la versión 7.86; enlace: https://www.drupal.org/project/drupal/releases/7.86

Fuentes:

  1. Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal. 20 de enero del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-2
  2. Drupal. Security advisories. Drupal core – Moderately critical – Cross Site Scripting – SA-CORE-2022-001. 19 de enero del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-001
  3. Drupal. Security advisories. Drupal core – Moderately critical – Cross site scripting – SA-CORE-2022-002. 19 de enero del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-002

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124