Drupal ha publicado 5 (cinco) vulnerabilidades en su producto y advirtió que actores malintencionados podrían explotar estos errores para realizar ataques de Cross-Site Scripting (XSS).
Las vulnerabilidades reportadas son todas de severidad “Media”. Estas son CVE-2021-41184, CVE-2021-41182, CVE-2021-41183, CVE-2016-7103 y CVE-2010-5312, que se detallan a continuación:
- CVE-2021-41184 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad es debida a un fallo en la función position de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
- CVE-2021-41182 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente Datepicker Widget, a través de la manipulación del parámetro altField de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
- CVE-2021-41183 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente Datepicker Widget, a través de la manipulación del parámetro *Text de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
- CVE-2016-7103 de severidad media, con una puntuación de 6.1. Esta vulnerabilidad se debe a un fallo en una función desconocida del componente Diagnostic Assistant encontrada en Oracle OSS Support Tools. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
- CVE-2010-5312 de severidad media, con una puntuación de 4.3. Esta vulnerabilidad se debe a un fallo en una función jquery.ui.dialog.js del componente Dialog widget, a través de la manipulación del argumento title de jQuery-UI. Un atacante podría realizar Cross-Site Scripting (XSS) en el sistema afectado.
Estas vulnerabilidades afectan Drupal en sus versiones 9.3, 9.2 y 7.
Recomendamos instalar las actualizaciones correspondientes provistas por Drupal que se encuentran indicadas en los siguientes enlaces acorde a la versión utilizada:
- Drupal 9.3, actualizar a Drupal 9.3.3 – https://www.drupal.org/project/drupal/releases/9.3.3
- Drupal 9.2, actualizar a Drupal 9.2.11 – https://www.drupal.org/project/drupal/releases/9.2.11
- Drupal 7, actualizar a Drupal 7.86 – https://www.drupal.org/project/drupal/releases/7.86
Las versiones de Drupal 8 y de Drupal 9 anteriores a 9.2.0, se encuentran al final de su vida útil y no reciben actualizaciones de seguridad.
Referencias:
- https://www.cisa.gov/uscert/ncas/current-activity/2022/01/20/drupal-releases-security-updates
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-2
- https://www.drupal.org/sa-core-2022-001
- https://www.drupal.org/sa-core-2022-002
- https://nvd.nist.gov/vuln/detail/CVE-2021-41184
- https://vuldb.com/es/?id.185438
- https://nvd.nist.gov/vuln/detail/CVE-2021-41182
- https://vuldb.com/es/?id.185436
- https://nvd.nist.gov/vuln/detail/CVE-2021-41183
- https://vuldb.com/?id.185437
- https://nvd.nist.gov/vuln/detail/CVE-2016-7103
- https://vuldb.com/es/?id.191196
- https://nvd.nist.gov/vuln/detail/CVE-2010-5312
- https://vuldb.com/?id.68212