Descripción

La biblioteca JQuery UI utilizada por Drupal estaba el final de su vida útil. Sin embargo, a fines de 2021, JQuery UI anunció que continuaría con el desarrollo y liberó una actualización (JQuery UI 1.13.) pero revelaron un problema de seguridad que puede afectar a Drupal 7 y 9:

CVE-2021-41184: Aceptar el valor de la opción "of" de la utilidad .position() de fuentes no confiables podría ejecutar código no confiable.

Sistemas afectados

• Drupal 9
• Drupal 7

Impacto

Es posible que esta vulnerabilidad sea explotable con algunos módulos de Drupal. Cuando un atacante explota la vulnerabilidad de Cross Site Scripting (XSS) e inyecta el script malicioso puede realizar diversas actividades maliciosas como transferir información privada, enviar solicitudes maliciosas, entre otras.

Solución

Aplicar las actualizaciones

• Si utiliza Drupal 9.3, actualizar a Drupal 9.3.3
• Si utiliza Drupal 9.2, actualizar a Drupal 9.2.11
• Si utiliza Drupal 7, actualizar a Drupal 7.86

Todas las versiones de Drupal 8 y versiones anteriores a Drupal 9.2.x están al final de su ciclo de vida y no reciben actualizaciones de seguridad.

Nota: Drupal 8 ha llegado al final de su vida (PSA-2021-06-29)

Referencias

• https://www.drupal.org/sa-core-2022-001
• https://nvd.nist.gov/vuln/detail/CVE-2021-41184
• https://www.drupal.org/psa-2021-06-29