Pasar al contenido principal
Vulnerabilidad

Vulnerabilidades en CMS Drupal

Drupal publicó dos vulnerabilidades que pueden permitir un Cross Site Scripting (XSS) afectando la integridad del sistema Core.
Drupal

Aunque todavía no se conocen exploits públicos o pruebas de concepto, y es necesario que una persona se autentique para explotar la vulnerabilidad, se recomienda instalar los parches lo antes posible.

Vulnerabilidades SA-CORE-2021-011

Drupal utiliza la biblioteca CKEditor, que es un editor HTML WYSIWYG de código abierto. CKEditor publicó una actualización de seguridad que afecta a Drupal, junto con una revisión para esa actualización.

Estas vulnerabilidades se podrían explotar, si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición de WYSSIWYG. Una persona podría crear o editar contenido (incluso sin acceso a CKEditor) y aprovechar una o más vulnerabilidades de Cross-Site Scripting (XSS), para atacar a otros usuarios con acceso al WYSIWYG CKEditor, incluidos los administradores del sitio con acceso privilegiado.

La vulnerabilidad afecta a todos los sistemas que utilizan CKEditor 4 en la versiones anteriores a 4.17.0. El parche de seguridad está disponible en la versión 4.17.0.

CVE-2021-41164

Esta vulnerabilidad se descubrió en el módulo ACF y puede afectar a todos los complementos utilizados por CKEditor 4.

CVE-2021-41165

Esta vulnerabilidad se descubrió en el módulo central de procesamiento HTML de CKEditor 4 y puede afectar a todos los complementos utilizados por CKEditor 4.

Explotando estas vulnerabilidades una persona podría, utilizando el editor, generar un HTML mal formado para evadir los controles de seguridad y, de esta forma, inyectar código Javascript.

Métricas CVSS3

CVE

Severidad

Puntaje

Vector

CVE-2021-41164

Alta

8.2

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:L

CVE-2021-41165

Alta

8.2

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:H

Afectaciones

Productos afectados

Versiones

Drupal

  • Drupal 9.2

  • Drupal 9.1

  • Drupal 8.9

Remediación

Actualizar la versión de Drupal según la siguiente tabla:

Versión

Fix

Drupal 9.2

Drupal 9.2.9

Drupal 9.1

Drupal 9.1.14

Drupal 8.9

Drupal 8.9.20

Las versiones de Drupal 9 anteriores a 9.1.x están al final de su ciclo de vida útil y no reciben actualizaciones de seguridad, por lo que en esos casos se recomienda migrar a una versión con soporte.

Las versiones de Drupal 8 ya llegaron al final de su ciclo de vida útil, por lo que esta es la versión de seguridad final proporcionada para Drupal 8.

El núcleo de Drupal 7 no incluye el módulo CKEditor y no se ve afectado, pero en estos casos también se recomienda migrar a una versión con soporte.

Recomendaciones

En vista de la severidad de las vulnerabilidades detalladas, recomendamos instalar lo antes posible los parches de seguridad mencionados.

Referencias

Enlace de Security Advisories Drupal – SA-CORE-2021-011

Security Update de CKEditor

Hotfix Update CKEditor

NIST CVE-2021-41164

NIST CVE-2021-4116

Etiquetas