Vulnerabilidad de Cross-Site Scripting en el core de Drupal

Fecha de publicación 21/03/2019
Importancia
3 - Media
Recursos Afectados
  • Versiones 8.6.x anteriores a 8.6.13
  • Versiones 8.5.x anteriores a 8.5.14
  • Versiones 7.x anteriores a 7.65
Descripción

Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el core de Drupal.

Solución
  • Para Drupal 8.6, actualizar a la versión 8.6.13
  • Para Drupal 8.5 y anteriores, actualizar a la versión 8.5.14
  • Para Drupal 7, actualizar a la versión 7.65

Las versiones de Drupal 8 anteriores a 8.5.x están en fase end-of-life y, por lo tanto, no reciben actualizaciones de seguridad.

Detalle
  • Bajo ciertas circunstancias, el módulo/subsistema de archivos permite que un usuario malicioso cargue un archivo que puede desencadenar una vulnerabilidad de Cross-Site Scripting (XSS). [Actualización 26/04/2019] Se ha reservado el CVE-2019-6341 a esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2019-004
Etiquetas