Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de Cross Site Scripting en Drupal core

Fecha de publicación 19/04/2018
Importancia
3 - Media
Recursos Afectados
  • Drupal 8 versiones anteriores a 8.5.2 o 8.4.7.
  • Drupal 7 si se instaló CKEditor empleando un método distinto a CDN y si este utiliza una versión de CKEditor desde la 4.5.11 hasta la 4.9.1.
Descripción

El equipo de desarrollo de CKEditor ha detectado una vulnerabilidad de tipo cross site scripting de criticidad media en su editor de texto.

Solución
  • Drupal 8:
  • Drupal 7 que emplee CKEditor instalado por un método alternativo a CDN y si este utiliza una versión de CKEditor desde la 4.5.11 hasta la 4.9.1:
Detalle

Una vulnerabilidad en una librería JavaScript de terceros incluida en Drupal podría permitir a un atacante con privilegios de usuario realizar un ataque de tipo cross site scripting en CKEditor.

Encuesta valoración

Listado de referencias
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2018-003
Etiquetas