Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Cross-Site Scripting (XSS) en Drupal

In Noticias y Avisos CiberseguridadPosted

Cross-Site Scripting (XSS) en Drupal

Aviso
Recursos Afectados
  • Versiones del core de Drupal:
    • desde la 8.0.0, incluida, hasta versiones anteriores a la 10.3.14;
    • desde la 10.4.0, incluida, hasta versiones anteriores a la 10.4.5;
    • desde la 11.0.0, incluida, hasta versiones anteriores a la 11.0.13;
    • desde la 11.1.0, incluida, hasta versiones anteriores a la 11.1.5.
  • Módulos:
    • Formatter Suite, versiones anteriores a la 2.1.0;
    • RapiDoc OAS Field Formatter, versiones anteriores a la 1.0.1;
    • Link field display mode formatter, versiones anteriores a la 1.6.0.
Descripción

El core de Drupal tiene una vulnerabilidad, de severidad media, que podría derivar en un Cross-Site Scriptings (XSS) y que afecta, también, a varios de sus módulos.

Las vulnerabilidades han sido descubiertas por Samuel Mortenson (samuel.mortenson), Joseph Zhao (pandaski) y Daniel Wehner (dawehner).

Identificador
INCIBE-2025-0148

3 – Media
Solución

Todas las versiones de Drupal 10 anteriores a la 10.3 han llegado al final de su vida útil y no reciben actualizaciones de seguridad.

Para el resto de versiones afectadas, actualizar a la siguiente versión:

  • Drupal 10.3.x, actualizar a Drupal 10.3.14;
  • Drupal 10.4.x, actualizar a Drupal 10.4.5;
  • Drupal 11.0.x, actualizar a Drupal 11.0.13;
  • Drupal 11.1.x, actualizar a Drupal 11.1.5.

También deberá actualizar los módulos a su última versión, ya que la actualización del core de Drupal les afecta y si no, no funcionarán correctamente:

  • Módulo Formatter Suite para Drupal 10, actualizar a Formatter Suite 2.1.0;
  • Módulo RapiDoc OAS Field Formatter para Drupal 10, actualizar a RapiDoc OAS Field Formatter 1.0.1;
  • Módulo Link field display mode formatter para Drupal 10 o 11, actualizar a Link field display mode formatter 8.x-1.6.
Detalle

Los atributos del campo Enlace del core de Drupal no están lo suficientemente depurados, lo que puede degenerar en una vulnerabilidad de Cross-Site Scripting (XSS).

Esta vulnerabilidad no es de mayor impacto por el hecho de que un atacante necesitaría tener la capacidad de agregar atributos específicos a un campo de Enlace, lo que normalmente requiere acceso de edición a través de los servicios web principales o un módulo que sea contrib o custom.

Los sitios con el módulo de Enlace deshabilitado o que no utilizan ningún campo de Enlace no se verán afectados.

Por otro lado, los módulos mencionados en el aviso, trabajan con el campo Enlace; esto provoca que la actualización de Drupal les afecte y sea preciso actualizarlos también para que puedan funcionar correctamente.

Listado de referencias
SA-CORE-2025-004 – Drupal core – Moderately critical – Cross Site Scripting
SA-CONTRIB-2025-024 – Link field display mode formatter – Moderately critical – Cross site scripting
SA-CONTRIB-2025-025 – RapiDoc OAS Field Formatter – Moderately critical – Cross site scripting
SA-CONTRIB-2025-026 – Formatter Suite – Moderately critical – Cross site scripting

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.