El equipo de seguridad de Drupal acaba de anunciar que se encuentra disponible una actualización de seguridad moderadamente crítica que corrige una vulnerabilidad encontrada en la librería de terceros CKEditor incorporada en el core de la herramienta.
Desde la versión 8 de Drupal, esta herramienta para la gestión de contenidos (Content Management System, CMS) incorpora por defecto en su núcleo CKEditor, un editor de texto enriquecido HTML/WYSIWYG (What You See Is What You Get) de código abierto que proporciona funciones de procesador de texto en páginas web.
Se ha reportado una brecha de seguridad en el parseo HTML de esta librería que permitiría un posible ataque del tipo Cross-site Scripting (XSS). Las versiones afectada por esta vulnerabilidad son 4.16.1 y posteriores. Para solucionar dicha vulnerabilidad se han publicado las siguientes actualizaciones:
- Si estamos usando Drupal 9.1, la versión 9.1.9.
- Si estamos usando Drupal 9.0, las versión 9.0.14.
- Si estamos usando Drupal 8.9, la versión 8.9.16
En las versiones anteriores a Drupal 8, en las que CKEditor se integra como módulo contribuido, deberemos actualizar dichos módulos para aplicar dicha actualización de seguridad.
El problema se ha detectado y se han aplicado las medidas que solucionan la vulnerabilidad. Ahora sólo está en nuestra mano como administradores de un sitio gestionado por esta herramienta aplicar la actualización que la soluciona para proteger nuestro sitio y a nuestro usuarios. No lo dejes para más tarde.
Podemos encontrar toda la información relativa a esta actualización de seguridad en el espacio web del Drupal Security Team.
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-003 https://t.co/5R1399g3Dh
— Drupal Security (@drupalsecurity) May 26, 2021