Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Cross-Site Scripting (XSS) en Drupal

Fecha de publicación 20/03/2025
Identificador
INCIBE-2025-0148
Importancia
3 - Media
Recursos Afectados
  • Versiones del core de Drupal:
    • desde la 8.0.0, incluida, hasta versiones anteriores a la 10.3.14;
    • desde la 10.4.0, incluida, hasta versiones anteriores a la 10.4.5;
    • desde la 11.0.0, incluida, hasta versiones anteriores a la 11.0.13;
    • desde la 11.1.0, incluida, hasta versiones anteriores a la 11.1.5.
  • Módulos:
    • Formatter Suite, versiones anteriores a la 2.1.0;
    • RapiDoc OAS Field Formatter, versiones anteriores a la 1.0.1;
    • Link field display mode formatter, versiones anteriores a la 1.6.0.
Descripción

El core de Drupal tiene una vulnerabilidad, de severidad media, que podría derivar en un Cross-Site Scriptings (XSS) y que afecta, también, a varios de sus módulos.

Las vulnerabilidades han sido descubiertas por Samuel Mortenson (samuel.mortenson), Joseph Zhao (pandaski) y Daniel Wehner (dawehner).

Solución

Todas las versiones de Drupal 10 anteriores a la 10.3 han llegado al final de su vida útil y no reciben actualizaciones de seguridad.

Para el resto de versiones afectadas, actualizar a la siguiente versión:

  • Drupal 10.3.x, actualizar a Drupal 10.3.14;
  • Drupal 10.4.x, actualizar a Drupal 10.4.5;
  • Drupal 11.0.x, actualizar a Drupal 11.0.13;
  • Drupal 11.1.x, actualizar a Drupal 11.1.5.

También deberá actualizar los módulos a su última versión, ya que la actualización del core de Drupal les afecta y si no, no funcionarán correctamente:

  • Módulo Formatter Suite para Drupal 10, actualizar a Formatter Suite 2.1.0;
  • Módulo RapiDoc OAS Field Formatter para Drupal 10, actualizar a RapiDoc OAS Field Formatter 1.0.1;
  • Módulo Link field display mode formatter para Drupal 10 o 11, actualizar a Link field display mode formatter 8.x-1.6.
Detalle

Los atributos del campo Enlace del core de Drupal no están lo suficientemente depurados, lo que puede degenerar en una vulnerabilidad de Cross-Site Scripting (XSS).

Esta vulnerabilidad no es de mayor impacto por el hecho de que un atacante necesitaría tener la capacidad de agregar atributos específicos a un campo de Enlace, lo que normalmente requiere acceso de edición a través de los servicios web principales o un módulo que sea contrib o custom.

Los sitios con el módulo de Enlace deshabilitado o que no utilizan ningún campo de Enlace no se verán afectados.

Por otro lado, los módulos mencionados en el aviso, trabajan con el campo Enlace; esto provoca que la actualización de Drupal les afecte y sea preciso actualizarlos también para que puedan funcionar correctamente.

Listado de referencias
SA-CORE-2025-004 - Drupal core - Moderately critical - Cross Site Scripting
SA-CONTRIB-2025-024 - Link field display mode formatter - Moderately critical - Cross site scripting
SA-CONTRIB-2025-025 - RapiDoc OAS Field Formatter - Moderately critical - Cross site scripting
SA-CONTRIB-2025-026 - Formatter Suite - Moderately critical - Cross site scripting
Etiquetas