Fecha de publicaciĂłn: 20/01/2022
Importancia:
Media
Recursos afectados:
Drupal, versiĂłn 9.3, 9.2 y 7.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida Ăștil y ya no reciben cobertura de seguridad.
DescripciĂłn:
Se han publicado cinco vulnerabilidades de severidad media que podrĂan afectar al core de Drupal.
SoluciĂłn:
Detalle:
Una librerĂa de terceros utilizada por el core de drupal:
- acepta el valor de varias opciones *Text del widget Datepicker, desde fuentes no confiables, lo que podrĂa permitir a un atacante la ejecuciĂłn de cĂłdigo no confiable. Se ha asignado el identificador CVE-2021-41183 para esta vulnerabilidad.
- acepta el valor de la opciĂłn altField del widget Datepicker, desde fuentes no confiables, lo que podrĂa permitir a un atacante la ejecuciĂłn de cĂłdigo no confiable. Se ha asignado el identificador CVE-2021-41182 para esta vulnerabilidad.
AdemĂĄs, esta actualizaciĂłn de seguridad incluye correcciones para las siguientes vulnerabilidades no corregidas en versiones anteriores, provocadas por:
- una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jQuery UI, que podrĂa permitir a un atacante remoto inyectar secuencias de comandos web o HTML arbitrarias a travĂ©s del parĂĄmetro closeText de la funciĂłn dialog. Se ha asignado el identificador CVE-2016-7103 para esta vulnerabilidad.
- una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jquery.ui.dialog.js, en el widget Dialog en jQuery UI, que podrĂa permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a travĂ©s de la opciĂłn title. Se ha asignado el identificador CVE-2010-5312 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.