El equipo de seguridad de Drupal acaba de anunciar una alerta moderadamente crítica de seguridad sobre el core de esta herramienta para la gestión de contenidos CMS.
Se ha producido una actualización de seguridad en la librería CKEditor, empleada por Drupal como editor WYSIWYG (What You See Is What You Get) por defecto del proceso de creación de contenidos web. Un posible atacante, incluso sin los permisos necesarios para crear contenido, podría ser capaz de explotar una o más vulnerabilidades del tipo Cross-site Scripting (XSS) sobre usuarios con acceso al editor de texto, incluidos aquellos que ostentan el rol de administrador.
Para solucionar este problema de seguridad detectado, se han publicado las siguientes actualizaciones de seguridad:
- Si se está empleando la versión 9.2, actualización 9.2.9.
- Si se está empleando la versión 9.1, actualización 9.1.14.
- Si se está empleando la versión 8.9, actualiziación 8.9.20
Todas las versiones anteriores a 9.1.x se encuentra fuera del ciclo de vida de actualizaciones, por lo que no se ejecutan actualizaciones de seguridad. También será la última actualización de seguridad que se realiza sobre Drupal 8.
El problema de seguridad ha sido detectado y se ha aplicado la solución para poder corregirlo. Ahora sólo está en nuestra mano como administradores de un sitio web que emplea esta herramienta para la gestión de contenidos el aplicarla para proteger nuestros datos y a nuestros usuarios. No lo dejes para más tarde pues sólo te llevará unos minutos.
Podemos encontrar toda la información sobre esta actualización de Drupal en el espacio web del Drupal Security Team.
Drupal core - Moderately critical - Cross Site Scripting - SA-CORE-2021-011https://t.co/X2bBaFOLOA
— Drupal Security (@drupalsecurity) November 18, 2021
(Sorry for the late tweet)