Vulnerabilidad en el core de Drupal

Fecha de publicación
20/03/2020
Importancia
3 - Media
Recursos Afectados
  • 8.8.x;
  • 8.7.x.
Descripción

Una biblioteca de terceros utilizada por el proyecto Drupal ha liberado una mejora de seguridad necesaria para proteger algunas de sus configuraciones.

Solución

Actualizar a las versiones 8.8.4 o 8.7.12, donde se incluye la actualización 4.14 de CKEditor.

Para mitigar la vulnerabilidad, el módulo CKEditor también se puede deshabilitar hasta que se actualice el sitio.

Detalle

Si Drupal está configurado para permitir el uso del CKEditor WYSIWYG, un atacante podría llevar a cabo ataques XSS contra otros usuarios, incluyendo administradores, cuando varias personas puedan editar los contenidos.

Encuesta valoración

 

Listado de referencias
Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001
Etiquetas

botón arriba