La vulnerabilidad afecta al core de Drupal que utiliza la librería de terceros CKEditor. Esta librería proporciona funciones de editor de texto HTML/ WYSIWYG de código abierto a las páginas web. CKEditor en versiones anteriores a 4.16.1, tiene un error en el análisis de HTML, que podría conducir a un ataque XSS o secuencias de comandos en sitios cruzados (Cross-Site Scripting).
Este problema solo afecta a los sitios con CKEditor activado. La corrección se incluye en CKEditor 4.16.1 y posteriores. Los usuarios de esta biblioteca deben actualizar su código de terceros (por ejemplo, el módulo WYSIWYG para Drupal 7).
Las versiones afectadas son: Drupal 9.1, Drupal 9.0 y Drupal 8.9.
La explotación exitosa de la vulnerabilidad le permitiría a un atacante tomar el control del sistema afectado.
Se recomienda actualizar Drupal a la última versión disponible. Para ello, puedes acceder a los siguientes enlaces:
- Si utilizas Drupal 9.1, actualiza a Drupal 9.1.9.
- Si utilizas Drupal 9.0, actualiza a Drupal 9.0.14.
- Si utilizas Drupal 8.9, actualiza a Drupal 8.9.16.
Las versiones anteriores a la 8.9.x no reciben actualizaciones de seguridad por estar descontinuadas.
Más información:
https://www.drupal.org/sa-core-2021-003
https://us-cert.cisa.gov/ncas/current-activity/2021/05/27/drupal-releases-security-updates