Vulnerabilidades en el core de Drupal
Fecha de publicación: 21/05/2020
Importancia:
Media
Recursos afectados:
Versiones anteriores a:
- 8.8.6;
- 8.7.14;
- 7.70.
Descripción:
Se han publicado dos vulnerabilidades de seguridad en jQuery que afectan a algunas versiones de Drupal. Así como una vulnerabilidad de redireccionamiento abierto en Drupal 7.
Solución:
Actualizar a las versiones 8.8.6, 8.7.14 o 7.70.
Detalle:
- Dos vulnerabilidades de XXS en jQuery podrían permitir a un atacante ejecutar código no confiable al pasar un HTML de fuentes no confiables, incluso después de sanearlo, a uno de los métodos de manipulación DOM de jQuery (es decir, .html(), .append(), y otros). Se han asignado los identificadores CVE-2020-11022 y CVE-2020-11023 para estas vulnerabilidades.
- Una vulnerabilidad de redireccionamiento abierto en Drupal 7, debida a una validación insuficiente del parámetro de consulta de destino en la función drupal_goto(), podría permitir a un atacante engañar a los usuarios para que visiten un enlace especialmente diseñado que los redirija a una URL externa arbitraria.
Etiquetas:
Actualización, CMS, Vulnerabilidad
Powered by WPeMatico