Boletín de Seguridad UNAM-CERT-2022-004 Actualizaciones de seguridad liberadas para Drupal (SA-CORE-2022-002)
Descripción
La biblioteca JQuery UI utilizada por Drupal estaba el final de su vida útil. Sin embargo, a fines de 2021, JQuery UI anunció que continuaría con el desarrollo y liberó una actualización (JQuery UI 1.13.) pero revelaron un problema de seguridad que puede afectar solo a Drupal 7:
CVE-2021-41182: Cross Site Scripting (XSS) en la opción altField del widget Datepicker
CVE-2021-41183: Cross Site Scripting (XSS) en las opciones *Text del widget Datepicker
Además, se agregan otras vulnerabilidades que no fueron revisadas previamente en la versión de JQuery UI en Drupal 7 el en módulo JQuery Update:
CVE-2016-7103: Cross Site Scripting (XSS) en la opción closeText de Dialog
CVE-2010-5312: Cross Site Scripting (XSS) en la opción de título de Dialog (aplica solo para la versión de jQuery UI incluida en el núcleo de Drupal 7)
Sistemas afectados
- Drupal 7
Impacto
Es posible que esta vulnerabilidad sea explotable con algunos módulos de Drupal o código personalizado. Cuando un atacante explota la vulnerabilidad de Cross Site Scripting (XSS) e inyecta el script malicioso puede realizar diversas actividades maliciosas como transferir información privada, enviar solicitudes maliciosas, entre otras.
Solución
Aplicar las actualizaciones
- Si utiliza Drupal 7, actualizar a Drupal 7.86
Referencias
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:
- Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 56 22 81 69