Fecha de publicación: 18/11/2021
Importancia:
Media
Recursos afectados:
- Drupal versión 9.2;
- Drupal versión 9.1;
- Drupal versión 8.9.
Descripción:
El líder técnico de CKSource Jacek Bogdański ha reportado dos vulnerabilidades por las que si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición WYSIWYG, un atacante que pudiera crear o editar contenido (incluso sin acceso al propio CKEditor) podría ser capaz de explotar una o más vulnerabilidades de Cross-Site Scripting (XSS).
Solución:
- Drupal 9.2, actualizar a Drupal 9.2.9;
- Drupal 9.1, actualizar a Drupal 9.1.14;
- Drupal 8.9, actualizar a Drupal 8.9.20.
Detalle:
- Vulnerabilidad en los comentarios HTML que permite ejecutar código JavaScript. Se ha asignado el identificador CVE-2021-41165 para esta vulnerabilidad.
- Vulnerabilidad del Filtro de Contenido Avanzado (ACF) que permite ejecutar código JavaScript utilizando HTML malformado. Se ha asignado el identificador CVE-2021-41164 para esta vulnerabilidad.
Etiquetas:
Actualización, CMS, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.