El equipo de seguridad de Drupal acaba de emitir una alerta de seguridad moderadamente crítica en el core de la herramienta como consecuencia de una brecha de seguridad en la librería de terceros CKEditor.
Esta alerta de seguridad que sido registrada con el identificador SA-CORE-2020-001 se produce como consecuencia de la alerta de seguridad que se ha emitido sobre la librería de terceros CKEditor, y que forma parte del core de Drupal desde la versión 8 de esta herramienta para la gestión de contenidos.
CKEditor es el editor WYSIWYG (What You See Is What You Get) que utiliza Drupal como editor de texto predeterminado en el core de la herramienta, y que previamente se podía instalar a través del módulo del mismo nombre, el cual se encuentra en el repositorio oficial. CKEditor reemplaza el campo textarea con un editor visual HTML que nos permite generar contenido de manera sencilla como si estuviéramos empleando un editor de texto tradicional, sin la necesidad de utilizar etiquetas HTML para formatear el contenido creado.
La vulnerabilidad que ha sido detectada se produce cuando tenemos activado CKEditor como editor de texto predeterminado en nuestra instalación de Drupal. Se ha comprobado que cuando varios usuarios pueden editar contenido, la vulnerabilidad que ha sido descubierta permitiría a un usuario con los permisos necesarios para ello realizar un ataque del tipo Cross-site Scripting (XSS) contra otros usuarios, incluido el administrador, el cual dispone de permisos relevantes sobre el sistema.
La versión publicada CKEditor 4.14 soluciona esta vulnerabilidad. Para poder aplicarla debemos actualizar a las versiones 8.8.4 o 8.7.12. Si por el contrario empleamos Drupal 7 y tenemos instalado y activado el módulo CKEditor, debemos actualizar dicho módulo a la versión 7.x-1.19.
Recuerda, la mayor parte de brechas de seguridad que se producen en un sitio web tienen su origen en una falta de mantenimiento de los mismos. La vulnerabilidad ha sido detectada y debidamente corregida. Pero de nada sirve si nosotros, como administradores, no aplicamos las actualizaciones necesarias para mantener nuestros sitios seguros. No lo dejes, actualizar tampoco nos lleva tanto tiempo y nos ayuda a mantener nuestro sitio y a nuestros usuarios protegidos.
Podemos encontrar toda la información sobre esta actualización en el espacio web del Equipo de seguridad de Drupal.
CKEditor - WYSIWYG HTML editor - Moderately critical - Cross site scripting - SA-CONTRIB-2020-007 https://t.co/DIVkcxOGui
— Drupal Security (@drupalsecurity) March 18, 2020