El equipo de Backdrop CMS ha anunciado una alerta de seguridad moderadamente crítica que afecta al core de la herramienta.
La vulnerabilidad detectada, del tipo Cross-Site Scripting (XSS), permitiría a un posible atacante con rol de administrador insertar código malicioso al definir clases personalizadas en bloques y regiones. La amenaza se ve mitigada por el hecho de que el atacante, tal y como hemos mencionado, debe poseer role de administración dentro del sistema.
Debido a la gravedad de la amenaza se recomienda encarecidamente la actualización de la herramienta a la última versión publicada, Backdrop CMS 1.11.1, que corrige este problema.
Toda la información el sitio web de Backdrop CMS.
Fuente