Vulnerabilidad de Cross Site Scripting en Drupal core
Fecha de publicación 19/04/2018
Importancia
3 - Media
Recursos Afectados
- Drupal 8 versiones anteriores a 8.5.2 o 8.4.7.
- Drupal 7 si se instaló CKEditor empleando un método distinto a CDN y si este utiliza una versión de CKEditor desde la 4.5.11 hasta la 4.9.1.
Descripción
El equipo de desarrollo de CKEditor ha detectado una vulnerabilidad de tipo cross site scripting de criticidad media en su editor de texto.
Solución
- Drupal 8:
- Actualizar a Drupal 8.5.2 o Drupal 8.4.7
- Drupal 7 que emplee CKEditor instalado por un método alternativo a CDN y si este utiliza una versión de CKEditor desde la 4.5.11 hasta la 4.9.1:
- Actualizar CKEditor a 4.9.2
Detalle
Una vulnerabilidad en una librería JavaScript de terceros incluida en Drupal podría permitir a un atacante con privilegios de usuario realizar un ataque de tipo cross site scripting en CKEditor.
Listado de referencias
Etiquetas