Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Crosss-Site Scripting en la integración de jQuery de Drupal

Fecha de publicación 16/04/2026
Identificador
INCIBE-2026-291
Importancia
5 - Crítica
Recursos Afectados

Drupal core en las versiones comprendidas entre :

  • 8.0.0 y 10.5.9, esta última sin incluir;
  • 10.6.0 y 10.6.7, esta última sin incluir;
  • 11.0.0 y 11.2.11, esta última sin incluir;
  • 11.3.0 y 11.3.7, esta última sin incluir.
Descripción

Murat Kekiç (murat_kekic) ha informado sobre 1 vulnerabilidad crítica que, en caso de ser explotada, podría permitir a un atacante ejecutar código JavaScript en el navegador de la víctima.

Solución

Se recomienda actualizar a una de las siguientes versiones:

  • 10.5.9;
  • 10.6.7;
  • 11.2.11;
  • 11.3.7.
Detalle

CVE-2026-6365: vulnerabilidad de tipo Cross-Site Scripting (XSS) en la integración de jQuery de Drupal Core que, en caso de ser explotada, podría permitir a un atacante ejecutar código JavaScript.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-6365 Crítica No Drupal
Listado de referencias
Drupal core - Critical - Cross-site scripting - SA-CORE-2026-001
Etiquetas