Vulnerabilidades en CMS Drupal
Aunque todavía no se conocen exploits públicos o pruebas de concepto, y es necesario que una persona se autentique para explotar la vulnerabilidad, se recomienda instalar los parches lo antes posible.
Vulnerabilidades SA-CORE-2021-011
Drupal utiliza la biblioteca CKEditor, que es un editor HTML WYSIWYG de código abierto. CKEditor publicó una actualización de seguridad que afecta a Drupal, junto con una revisión para esa actualización.
Estas vulnerabilidades se podrían explotar, si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición de WYSSIWYG. Una persona podría crear o editar contenido (incluso sin acceso a CKEditor) y aprovechar una o más vulnerabilidades de Cross-Site Scripting (XSS), para atacar a otros usuarios con acceso al WYSIWYG CKEditor, incluidos los administradores del sitio con acceso privilegiado.
La vulnerabilidad afecta a todos los sistemas que utilizan CKEditor 4 en la versiones anteriores a 4.17.0. El parche de seguridad está disponible en la versión 4.17.0.
CVE-2021-41164
Esta vulnerabilidad se descubrió en el módulo ACF y puede afectar a todos los complementos utilizados por CKEditor 4.
CVE-2021-41165
Esta vulnerabilidad se descubrió en el módulo central de procesamiento HTML de CKEditor 4 y puede afectar a todos los complementos utilizados por CKEditor 4.
Explotando estas vulnerabilidades una persona podría, utilizando el editor, generar un HTML mal formado para evadir los controles de seguridad y, de esta forma, inyectar código Javascript.
Métricas CVSS3
CVE | Severidad | Puntaje | Vector |
CVE-2021-41164 | Alta | 8.2 | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:L |
CVE-2021-41165 | Alta | 8.2 | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:H |
Afectaciones
Productos afectados | Versiones |
Drupal |
|
Remediación
Actualizar la versión de Drupal según la siguiente tabla:
Versión | Fix |
Drupal 9.2 | Drupal 9.2.9 |
Drupal 9.1 | Drupal 9.1.14 |
Drupal 8.9 | Drupal 8.9.20 |
Las versiones de Drupal 9 anteriores a 9.1.x están al final de su ciclo de vida útil y no reciben actualizaciones de seguridad, por lo que en esos casos se recomienda migrar a una versión con soporte.
Las versiones de Drupal 8 ya llegaron al final de su ciclo de vida útil, por lo que esta es la versión de seguridad final proporcionada para Drupal 8.
El núcleo de Drupal 7 no incluye el módulo CKEditor y no se ve afectado, pero en estos casos también se recomienda migrar a una versión con soporte.
Recomendaciones
En vista de la severidad de las vulnerabilidades detalladas, recomendamos instalar lo antes posible los parches de seguridad mencionados.