El equipo de seguridad de Drupal acaba de anunciar una alerta moderamente crítica de seguridad en el módulo contribuido Bootstrap.
El módulo Bootstrap nos permite integran este extendido framework para el diseño web en nuestra instalación de Drupal y sirve como base de muchos temas y subtemas existentes.
El módulo no filtra los suficiente los objetivos en escenarios relacionados con los objetos modales, ventanas emergentes e información sobre diferentes herramientas. La vulnerabilidad provocada por este hecho se ve mitigada por el hecho que el posible atacante debe poder/disponer de los permisos de:
- Editar / salvar contenido personalizado que utilice el atributo data-target para inyectar código malicioso.
- Inyectar marcas personalizadas dentro de páginas que posteriormente puedan explotar el atributo data-target para inyectar código malicioso. Este tipo de ataque es áltamente improbable si el posible atacante dispone del nivel de acceso para poder realizar esta acción.
Mientras que los temas base que proveen Bootstrap como marco de diseño no permiten ninguna de estas formas de explotación, algunos sub-temas podrían ser susceptibles de padecer esta amenaza si no sanitizan o filtran las entradas de usuario que permitirían esta explotación XSS.
Para solucionar este problema de seguridad se han publicado dos nuevas actualizaciones, la 7.x-3-22 y 8.x-3.14.
Toda la información la podemos encontrar en el sitio web de Drupal.
Bootstrap - Moderately critical - Cross site scripting - SA-CONTRIB-2018-074 https://t.co/jNJSsVGIX8
— Drupal Security (@drupalsecurity) November 28, 2018