Drupal ha implementado actualizaciones desde que se descubrieron vulnerabilidades de secuencias de comandos entre sitios en CKEditor. Los desarrolladores detrás de CKEditor también corrigieron los errores de XSS con un lanzamiento de parche. Todos los usuarios de CKEditor ahora deben actualizar sus sitios en consecuencia para mantenerse seguros.
Se corrigieron varios errores de CKEditor XSS
Aparentemente, CKEditor, un editor de texto enriquecido WYSIWYG de código abierto, corrigió dos errores XSS con la última versión 4.17.0. Ambas vulnerabilidades afectaron a todas las versiones anteriores de CKEditor 4.
Una de estas vulnerabilidades (CVE-2021-41165), informada por William Bowling, existía en el módulo principal de procesamiento de HTML. Como se describe en el aviso de CKEditor, la explotación de este error podría permitir la ejecución de código malicioso.
La vulnerabilidad permitía inyectar comentarios HTML mal formados al pasar por alto el saneamiento del contenido, lo que podría conducir a la ejecución de código JavaScript.
La otra vulnerabilidad (CVE-2021-41164), informada por Maurice Daue, afectó al módulo de filtro de contenido avanzado (ACF). Al describir su impacto, el aviso dice:
La vulnerabilidad permitía inyectar código HTML mal formado sin pasar por la desinfección del contenido, lo que podría conducir a la ejecución del código JavaScript.
Aunque el equipo solucionó rápidamente las fallas, necesitan hacer otro cambio ya que las actualizaciones han causado problemas. Por lo tanto, lanzaron una solución con CKEditor 4.17.1.
Drupal también lanzó actualizaciones
Estos errores de CKEditor y las actualizaciones posteriores también afectaron a Drupal, que utiliza la biblioteca CKEditor para la edición WYSIWYG. Por lo tanto, Drupal también ha lanzado actualizaciones de seguridad para los usuarios.
Con respecto al impacto de los errores, el aviso de Drupal establece:
Las vulnerabilidades son posibles si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición WYSIWYG. Un atacante que puede crear o modificar contenido (incluso sin acceso a CKEditor) puede explotar una o más vulnerabilidades de Cross-Site Scripting (XSS) para apuntar a usuarios con acceso a WYSIWYG CKEditor, incluidos los administradores de sitios con acceso privilegiado.
Por lo tanto, los desarrolladores lanzaron las versiones de Drupal 9.2.9, 9.1.14 y 8.9.20 con las correcciones para los usuarios de Drupal 9.1, 9.1 y 8.9 respectivamente.
El equipo ha confirmado que estos problemas no afectan al núcleo de Drupal 7, ya que no incluye CKEditor.
Sin embargo, todos los demás usuarios de Drupal (incluidos los que usan versiones al final de su ciclo de vida) deben actualizarse a las últimas versiones para mantenerse seguros.
La estadounidense CISA también ha emitido una alerta al respecto, solicitando actualizaciones de Drupal.
Háganos saber sus pensamientos en los comentarios.
