Se acaba de publicar una alerta moderadamente crítica en el core de Drupal a través de una librería JavaScript de CKEditor.
Tal y como se informa desde el equipo de seguridad de Drupal, esta vulnerabilidad se encontraba en el plugin image2 que permitía ejecutar un ataque cross-site scripting. Este hecho ya ha sido solucionado por el equipo de CKEditor e implementada en una actualización de seguridad liberada para tal efecto.
Por lo tanto, para solucionar esta vulnerabilidad:
- Si tenemos instalado Drupal 8, actualizar a la versión 8.5.2 o 8.4.7.
- Si trabajamos con Drupal 7, y hemos instalado CKEditor a través del módulo WYSIWYG o CKEditor Module localmente, deberemos actualizad CKEditor a la versión 4.9.2 descargándolo desde su sitio web.
Toda la información en el sitio web de Drupal.
Fuente