Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación: 20/01/2022

Importancia:
Media

Recursos afectados:

Drupal, versión 9.3, 9.2 y 7.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción:

Se han publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.

Solución:

Actualizar:

  • Drupal 9.3, a la versión 9.3.3;
  • Drupal 9.2, a la versión 9.2.11;
  • Drupal 7, a la versión 7.86.

Detalle:

Una librería de terceros utilizada por el core de drupal:

  • acepta el valor de varias opciones *Text del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable. Se ha asignado el identificador CVE-2021-41183 para esta vulnerabilidad.
  • acepta el valor de la opción altField del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable. Se ha asignado el identificador CVE-2021-41182 para esta vulnerabilidad.

Además, esta actualización de seguridad incluye correcciones para las siguientes vulnerabilidades no corregidas en versiones anteriores, provocadas por:

  • una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jQuery UI, que podría permitir a un atacante remoto inyectar secuencias de comandos web o HTML arbitrarias a través del parámetro closeText de la función dialog. Se ha asignado el identificador CVE-2016-7103 para esta vulnerabilidad.
  • una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jquery.ui.dialog.js, en el widget Dialog en jQuery UI, que podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de la opción title. Se ha asignado el identificador CVE-2010-5312 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, CMS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.