Múltiples vulnerabilidades en el core de Drupal
Fecha de publicación 20/01/2022
Importancia
3 - Media
Recursos Afectados
Drupal, versión 9.3, 9.2 y 7.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción
Se han publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.
Solución
Detalle
Una librería de terceros utilizada por el core de drupal:
- acepta el valor de varias opciones *Text del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable. Se ha asignado el identificador CVE-2021-41183 para esta vulnerabilidad.
- acepta el valor de la opción altField del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable. Se ha asignado el identificador CVE-2021-41182 para esta vulnerabilidad.
Además, esta actualización de seguridad incluye correcciones para las siguientes vulnerabilidades no corregidas en versiones anteriores, provocadas por:
- una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jQuery UI, que podría permitir a un atacante remoto inyectar secuencias de comandos web o HTML arbitrarias a través del parámetro closeText de la función dialog. Se ha asignado el identificador CVE-2016-7103 para esta vulnerabilidad.
- una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jquery.ui.dialog.js, en el widget Dialog en jQuery UI, que podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de la opción title. Se ha asignado el identificador CVE-2010-5312 para esta vulnerabilidad.
Listado de referencias
Etiquetas