CSIRT Panam\u00e1 Aviso 2022-01-25 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal<\/p>\n\n\n\n
Gravedad: Media
Fecha de publicaci\u00f3n: Enero 25, 2022
\u00daltima revisi\u00f3n: Enero 25, 2022
Sitio web: https:\/\/www.drupal.org\/
Sistemas Afectados: Drupal, versi\u00f3n 9.3, 9.2 y 7.<\/p>\n\n\n\n
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida \u00fatil y ya no reciben cobertura de seguridad.<\/p>\n\n\n\n
I. Descripci\u00f3n<\/p>\n\n\n\n
Drupal ha publicado cinco vulnerabilidades de severidad media que podr\u00edan afectar al core de Drupal.<\/p>\n\n\n\n
II. Impacto<\/p>\n\n\n\n
Una librer\u00eda de terceros utilizada por el core de drupal:<\/p>\n\n\n\n
Vulnerabilidad: CVE-2021-41183<\/p>\n\n\n\n
Acepta el valor de varias opciones *Text del widget Datepicker, desde fuentes no confiables, lo que podr\u00eda permitir a un atacante la ejecuci\u00f3n de c\u00f3digo no confiable.<\/p>\n\n\n\n
Vulnerabilidad: CVE-2021-41182<\/p>\n\n\n\n
Acepta el valor de la opci\u00f3n altField del widget Datepicker, desde fuentes no confiables, lo que podr\u00eda permitir a un atacante la ejecuci\u00f3n de c\u00f3digo no confiable.<\/p>\n\n\n\n
Adem\u00e1s, esta actualizaci\u00f3n de seguridad incluye correcciones para las siguientes vulnerabilidades no corregidas en versiones anteriores, provocadas por:<\/p>\n\n\n\n
Vulnerabilidad: CVE-2016-7103<\/p>\n\n\n\n
Una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jQuery UI, que podr\u00eda permitir a un atacante remoto inyectar secuencias de comandos web o HTML arbitrarias a trav\u00e9s del par\u00e1metro closeText de la funci\u00f3n dialog.<\/p>\n\n\n\n
Vulnerabilidad: CVE-2010-5312<\/p>\n\n\n\n
Una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jquery.ui.dialog.js, en el widget Dialog en jQuery UI, que podr\u00eda permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a trav\u00e9s de la opci\u00f3n title.<\/p>\n\n\n\n
III. Referencia a soluciones, herramientas e informaci\u00f3n<\/p>\n\n\n\n
Aplicar los parches correspondientes seg\u00fan los productos afectados mediante los siguientes enlaces:<\/p>\n\n\n\n
\u2022 Drupal 9.3, a la versi\u00f3n 9.3.3; enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/9.3.3
\u2022 Drupal 9.2, a la versi\u00f3n 9.2.11; enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/9.2.11
\u2022 Drupal 7, a la versi\u00f3n 7.86; enlace: https:\/\/www.drupal.org\/project\/drupal\/releases\/7.86<\/p>\n\n\n\n
Fuentes:<\/p>\n\n\n\n
Informaci\u00f3n de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https:\/\/cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"
CSIRT Panam\u00e1 Aviso 2022-01-25 Drupal: M\u00faltiples vulnerabilidades en el core de Drupal Gravedad: MediaFecha de publicaci\u00f3n: Enero 25, 2022\u00daltima revisi\u00f3n: Enero 25, 2022Sitio web: https:\/\/www.drupal.org\/Sistemas Afectados: Drupal, versi\u00f3n 9.3, 9.2 y 7. Las versiones de…<\/p>\n","protected":false},"author":4,"featured_media":941,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2979","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2979"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2979\/revisions"}],"predecessor-version":[{"id":2980,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/2979\/revisions\/2980"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/941"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}