Cabecera-v2-web.jpg

Vulnerabilidad crítica en el core de Drupal


28/05/2021

La vulnerabilidad afecta al core de Drupal que utiliza la librería de terceros CKEditor. Esta librería proporciona funciones de editor de texto HTML/ WYSIWYG de código abierto a las páginas web. CKEditor en versiones anteriores a 4.16.1, tiene un error en el análisis de HTML, que podría conducir a un ataque XSS o secuencias de comandos en sitios cruzados (Cross-Site Scripting).

Este problema solo afecta a los sitios con CKEditor activado. La corrección se incluye en CKEditor 4.16.1 y posteriores. Los usuarios de esta biblioteca deben actualizar su código de terceros (por ejemplo, el módulo WYSIWYG para Drupal 7).

Las versiones afectadas son: Drupal 9.1, Drupal 9.0 y Drupal 8.9.

Impacto:

La explotación exitosa de la vulnerabilidad le permitiría a un atacante tomar el control del sistema afectado.

Recomendaciones:

Se recomienda actualizar Drupal a la última versión disponible. Para ello, puedes acceder a los siguientes enlaces:

Las versiones anteriores a la 8.9.x no reciben actualizaciones de seguridad por estar descontinuadas.

Más información:

https://www.incibe.es/protege-tu-empresa/avisos-seguridad/si-tu-cms-drupal-actualiza-pues-tiene-fallo-seguridad-ckeditor

https://www.drupal.org/sa-core-2021-003

https://us-cert.cisa.gov/ncas/current-activity/2021/05/27/drupal-releases-security-updates


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11