Vulnerabilidades en el core de Drupal

Fecha de publicación: 21/05/2020

Importancia:
Media

Recursos afectados:

Versiones anteriores a:

  • 8.8.6;
  • 8.7.14;
  • 7.70.

Descripción:

Se han publicado dos vulnerabilidades de seguridad en jQuery que afectan a algunas versiones de Drupal. Así como una vulnerabilidad de redireccionamiento abierto en Drupal 7.

Solución:

Actualizar a las versiones 8.8.6, 8.7.14 o 7.70.

Detalle:

  • Dos vulnerabilidades de XXS en jQuery podrían permitir a un atacante ejecutar código no confiable al pasar un HTML de fuentes no confiables, incluso después de sanearlo, a uno de los métodos de manipulación DOM de jQuery (es decir, .html(), .append(), y otros). Se han asignado los identificadores CVE-2020-11022 y CVE-2020-11023 para estas vulnerabilidades.
  • Una vulnerabilidad de redireccionamiento abierto en Drupal 7, debida a una validación insuficiente del parámetro de consulta de destino en la función drupal_goto(), podría permitir a un atacante engañar a los usuarios para que visiten un enlace especialmente diseñado que los redirija a una URL externa arbitraria.

Encuesta valoración

Etiquetas:
Actualización, CMS, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.