CSIRT Panamá Aviso 2022-03-18 Drupal: Múltiples vulnerabilidades en el core de Drupal
Gravedad: Alta
Fecha de publicación: Marzo 18, 2022
Última revisión: Marzo 18, 2022
Sitio web: https://www.drupal.org/
Sistemas Afectados: versiones anteriores a la 9.3.8 y 9.2.15.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
I.Descripción
Drupal ha publicado dos vulnerabilidades de severidad media que podrían afectar al core de Drupal.
II.Impacto
Vulnerabilidades: CVE-2022-24728 y CVE-2022-24729
Las vulnerabilidades son posibles si Drupal está configurado para permitir el uso de la librería CKEditor para la edición WYSIWYG. Un atacante que pueda crear o editar contenido (incluso sin acceso al propio CKEditor) podría explotar una o más vulnerabilidades de Cross-Site Scripting (XSS) para dirigirse a usuarios con acceso al CKEditor WYSIWYG, incluyendo administradores del sitio con acceso privilegiado.
III. Referencia a soluciones, herramientas e información
Actualizar las versiones de Drupal.
•Drupal 9.3 a la versión 9.3.8.
Enlace: https://www.drupal.org/project/drupal/releases/9.3.8
•Drupal 9.2 a la versión 9.2.15.
Enlace: https://www.drupal.org/project/drupal/releases/9.2.15
Detalle:
Fuentes:
1.Instituto Nacional de Ciberseguridad, INCIBE. Avisos Seguridad, Múltiples vulnerabilidades en el core de Drupal. 17 de marzo del 2022. Recopilado en: https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-4
2.Drupal. Drupal core – Moderately critical – Third-party libraries – SA-CORE-2022-005. 16 de marzo del 2022. Recopilado en: https://www.drupal.org/sa-core-2022-005
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124