El equipo de
desarrollo de CKEditor ha detectado una vulnerabilidad de tipo cross site
scripting de criticidad media en su editor de texto, catalogada de Importancia: 3 - Media
Recursos
afectados:
- Drupal 8
versiones anteriores a 8.5.2 o 8.4.7.
- Drupal 7 si se
instaló CKEditor empleando un método distinto a CDN y si este utiliza una
versión de CKEditor desde la 4.5.11 hasta la 4.9.1.
Detalle
de vulnerabilidades
Una vulnerabilidad en
una librería JavaScript de terceros incluida en Drupal podría permitir a un
atacante con privilegios de usuario realizar un ataque de tipo cross site
scripting en CKEditor.
Recomendación
Drupal 8:
- Actualizar a Drupal 8.5.2 https://www.drupal.org/project/drupal/releases/8.5.2
o Drupal 8.4.7 (https://www.drupal.org/project/drupal/releases/8.4.7
)
Drupal 7 que emplee CKEditor instalado
por un método alternativo a CDN y si este utiliza una versión de CKEditor desde
la 4.5.11 hasta la 4.9.1:
- Actualizar CKEditor a 4.9.2 (https://ckeditor.com/ckeditor-4/download/
)
Fuente: INCIBE