Cabecera-v2-web.jpg

Drupal publica múltiples vulnerabilidades


21/01/2022

Drupal ha publicado 5 (cinco) vulnerabilidades en su producto y advirtió que actores malintencionados podrían explotar estos errores para realizar ataques de Cross-Site Scripting (XSS).

Las vulnerabilidades reportadas son todas de severidad “Media”. Estas son CVE-2021-41184, CVE-2021-41182, CVE-2021-41183, CVE-2016-7103 y CVE-2010-5312, que se detallan a continuación:

  • CVE-2021-41184 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad es debida a un fallo en la función position de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
  • CVE-2021-41182 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente Datepicker Widget, a través de la manipulación del parámetro altField de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
  • CVE-2021-41183 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente Datepicker Widget, a través de la manipulación del parámetro *Text de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
  • CVE-2016-7103 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente Diagnostic Assistant encontrada en Oracle OSS Support Tools. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
  • CVE-2010-5312 de severidad media, con una puntuación de 4.3. Esta vulnerabilidad se debe a un fallo en una función jquery.ui.dialog.js del componente Dialog widget, a través de la manipulación del argumento title de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.

Estas vulnerabilidades afectan Drupal en sus versiones 9.3, 9.2 y 7.

Recomendamos instalar las actualizaciones correspondientes provistas por Drupal que se encuentran indicadas en los siguientes enlaces acorde a la versión utilizada:

Las versiones de Drupal 8 y de Drupal 9 anteriores a 9.2.0, se encuentran al final de su vida útil y no reciben actualizaciones de seguridad.

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11