Vulnerabilidad en el core de Drupal

Fecha de publicación

20/03/2020

Importancia

3 - Media

Recursos Afectados

8.8.x;
8.7.x.

Descripción

Una biblioteca de terceros utilizada por el proyecto Drupal ha liberado una mejora de seguridad necesaria para proteger algunas de sus configuraciones.

Solución

Actualizar a las versiones 8.8.4 o 8.7.12, donde se incluye la actualización 4.14 de CKEditor.

Para mitigar la vulnerabilidad, el módulo CKEditor también se puede deshabilitar hasta que se actualice el sitio.

Detalle

Si Drupal está configurado para permitir el uso del CKEditor WYSIWYG, un atacante podría llevar a cabo ataques XSS contra otros usuarios, incluyendo administradores, cuando varias personas puedan editar los contenidos.

Listado de referencias

Drupal core - Moderately critical - Third-party library - SA-CORE-2020-001

Etiquetas

Actualización
CMS
Vulnerabilidad