CSIRT Panamá Aviso 2025-02-25 Drupal: Cross-Site Scripting (XSS) reflejado en el núcleo de Drupal.
Gravedad: Alta
Fecha de publicación: febrero 25, 2025
Última revisión: febrero 25, 2025
Sitio web: https://www.drupal.org/
Sistemas Afectados:
- versiones desde la 8.0.0 hasta la versión anterior a la 10.3.13;
- versiones desde la 10.4.0 hasta la versión anterior a la 10.4.3;
- versiones desde la 11.0.0 hasta la versión anterior a la 11.0.12;
- versiones desde la 11.1.0 hasta la versión anterior a la 11.1.3.
- Descripción
Se han publicado un aviso de seguridad, clasificado con severidad crítica, que afecta al núcleo y es de tipo Cross-site scripting reflejado.
- Impacto
La vulnerabilidad es de tipo Cross-site scripting y se produce porque el núcleo de Drupal no filtra suficientemente los mensajes de error en determinadas circunstancias.
III. Referencia a soluciones, herramientas e información
Todas las versiones de Drupal 10 anteriores a la 10.3 han llegado al final de su vida útil y no reciben cobertura de seguridad.
Para el resto de las versiones afectadas, actualizar:
- Drupal 10.3.x: v10.3.13.
- Drupal 10.4.x: v10.4.3.
- Drupal 11.0.x: v11.0.12.
- Drupal 11.1.x: v11.1.3.
Fuentes:
- INCIBE CERT. Avisos Seguridad, Cross-Site Scripting (XSS) reflejado en el núcleo de Drupal. 20 de febrero del 2025. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-scripting-xss-reflejado-en-el-nucleo-de-drupal
- Drupal Oficial. 19 de febrero del 2025. Drupal core – Critical – Cross site scripting – SA-CORE-2025-001. Recopilado en: https://www.drupal.org/sa-core-2025-001
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124