Boletín de Seguridad UNAM-CERT-2022-003 Actualizaciones de seguridad liberadas para Drupal (SA-CORE-2022-001)
Descripción
La biblioteca JQuery UI utilizada por Drupal estaba el final de su vida útil. Sin embargo, a fines de 2021, JQuery UI anunció que continuaría con el desarrollo y liberó una actualización (JQuery UI 1.13.) pero revelaron un problema de seguridad que puede afectar a Drupal 7 y 9:
CVE-2021-41184: Aceptar el valor de la opción "of" de la utilidad .position() de fuentes no confiables podría ejecutar código no confiable.
Sistemas afectados
- Drupal 9
- Drupal 7
Impacto
Es posible que esta vulnerabilidad sea explotable con algunos módulos de Drupal. Cuando un atacante explota la vulnerabilidad de Cross Site Scripting (XSS) e inyecta el script malicioso puede realizar diversas actividades maliciosas como transferir información privada, enviar solicitudes maliciosas, entre otras.
Solución
Aplicar las actualizaciones
- Si utiliza Drupal 9.3, actualizar a Drupal 9.3.3
- Si utiliza Drupal 9.2, actualizar a Drupal 9.2.11
- Si utiliza Drupal 7, actualizar a Drupal 7.86
Todas las versiones de Drupal 8 y versiones anteriores a Drupal 9.2.x están al final de su ciclo de vida y no reciben actualizaciones de seguridad.
Nota: Drupal 8 ha llegado al final de su vida (PSA-2021-06-29)
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:
- Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69