Si usas Drupal en tu empresa, este aviso te importa
Drupal 8: versiones anteriores a 8.5.2 u 8.4.7.
Drupal 7: si se instaló el editor CKEditor empleando un método distinto a CDN y se utiliza en una versión comprendida entre la 4.5.11 y la 4.9.1.
Se ha publicado una nueva actualización de seguridad para el gestor de contenidos Drupal, que soluciona una vulnerabilidad del tipo cross-site scripting (XSS) en Drupal 8.
La solución a este problema de seguridad es instalar la versión más reciente del Drupal:
- Para versiones anteriores de Drupal 8, actualice a las versiones Drupal 8.5.2 o Drupal 8.4.7.
-
Para las versiones de Drupal 7 indicadas en la sección recursos afectados: Actualizar CKEditor a 4.9.2
Antes de realizar ninguna actualización del gestor de contenidos Drupal, es necesario realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Además, se recomienda comprobar que se ha realizado dicha copia de seguridad y que llegado el momento, se podría recuperar.
Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.
Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.
Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.
¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines o al perfil de twitter @ProtegeEmpresa. Serás el primero en enterarte de los últimos avisos de seguridad para empresas.
Esta actualización está destinada a solucionar una vulnerabilidad del CKEditor (biblioteca JavaScript), incluida en el núcleo de Drupal, que evitará ataques del tipo cross-site scripting (XSS). La vulnerabilidad se produce al ejecutar XSS dentro del CKEditor cuando se utiliza el plugin image2.
Mediante este código insertado a través del XSS, un atacante podría cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y en general cualquier acción que desee de forma inadvertida para el administrador. Tu soporte tecnológico puede consultar una solución más técnica el área de avisos del CERTSI.
Es importante proteger el gestor de contenidos para evitar que sea vulnerable. Sigue este Checklist para evitar posibles ataques de ciberdelincuentes, algunos de ellos explicados en esto casos reales:
- ¿Mi web está en una lista negra?
- El día que mi empresa atacó a otra por internet sin saberlo
- Mi página web está suplantando a una web bancaria
- Mi web está siendo atacada por un grupo Yihadista
REFERENCIAS