Boletín de Seguridad UNAM-CERT-2022-014 Actualizaciones de seguridad liberadas para Drupal (SA-CORE-2022-005)

Fecha liberación: 
16/03/2022
Fuente: 
https://www.drupal.org/sa-core-2022-005
Riesgo: 
Medio

Descripción

El proyecto Drupal utiliza la biblioteca CKEditor para el editor WYSIWYG. CKEditor liberó actualizaciones de seguridad.

Para más información, consulta los avisos de seguridad de CKEditor:

CVE-2022-24728: vulnerabilidad de procesamiento HTML permite ejecución de código JavaScript
 CVE-2022-24729 : Denegación de servicio de expresión regular en el complemento dialog

Sistemas afectados

  • Drupal 9

Vulnerabilidad

  • Cross-Site Scripting (XSS)

Impacto

Un atacante que pueda crear o editar contenido (incluso sin acceso a CKEditor) podría explotar una o más vulnerabilidades de Cross-Site Scripting cuyo objetivo sean usuarios con acceso al editor WYSIWYG CKEditor o administradores de sitios.

Solución

Aplicar las actualizaciones
Si utiliza Drupal 9.3, actualizar a Drupal 9.3.8
Si utiliza Drupal 9.2, actualizar a Drupal 9.2.15

Todas las versiones anteriores a Drupal 9.2.x están al final de su ciclo de vida y no reciben actualizaciones de seguridad.

Nota: Drupal 8 ha llegado al final de su vida (PSA-2021-06-29)

Drupal 7 y módulos de terceros

El núcleo de Drupal 7 no es afectado por la vulnerabilidad, aunque los administradores deberían revisar los sitios con versiones Drupal 7, 8 y 9 siguiendo el protocolo

Referencias

 

 

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración o traducción y revisión de este Documento a:

  • Sergio Anduin Tovar Balderas (anduin dot tovar at cert dot unam dot mx)

 

UNAM-CERT

Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at cert.unam.mx
phishing at cert.unam.mx
https://www.cert.org.mx
https://www.cert.unam.mx
Tel: 55 56 22 81 69