John Leyden 20 de marzo de 2020, 2:20 p. m. UTC
Actualizado: 11 de mayo de 2020 07:17 UTC
La falla del editor de texto genera CVE
ACTUALIZADO Una vulnerabilidad en un componente de biblioteca de terceros ha tenido un efecto dominó en los paquetes de software que dependen de él, incluido el sistema de administración de contenido Drupal.
El problema involucra un error de secuencias de comandos entre sitios (XSS) en CKEditor, un editor de texto enriquecido que se incluye con varias aplicaciones en línea.
Un atacante podría explotar la vulnerabilidad XSS para atacar a los usuarios con acceso a CKEditor. Esto incluye potencialmente a los administradores del sitio con acceso privilegiado.
La explotación dista mucho de ser simple e implicaría engañar a las posibles víctimas para que copien código HTML malintencionado antes de pegarlo en CKEditor en modo «WYSIWYG».
«Aunque este es un escenario poco probable, recomendamos actualizar a la última versión del editor», explican los desarrolladores de CKEditor en un aviso publicado a principios de este mes.
CKEditor 4.14 corrige esta vulnerabilidad XSS en el procesador de datos HTML, descubierta por Michał Bentkowski de Securitum, y proporciona mejoras y resolución para una vulnerabilidad XSS no relacionada en el complemento de terceros WebSpellChecker Dialog.
Un aviso de Drupal, publicado el miércoles, pide a los usuarios que actualicen a una versión del CMS que presente la versión actualizada de CKEditor para mitigar la vulnerabilidad.
En la práctica, esto significa actualizar a Drupal 8.8.4 o Drupal 8.7.12.
Drupal describe la falla de seguridad como «moderadamente crítica», aunque los atacantes deberían poder crear o modificar contenido en un intento de explotarlo.
Bentkowski dijo El sorbo diario que muchos servicios usan CKEditor, «según mi experiencia, diría que es el editor web WYSIWYG más popular con TinyMCE».
El investigador de seguridad luego explicó cómo descubrió la falla.
«Encontré este error mientras analizaba cómo varios editores WYSIWYG manejan el pegado de contenido HTML», explicó Bentkowski. «Lo calificaría como de gravedad moderada: el usuario tiene que copiar algo de un sitio web malicioso y luego pegarlo en CKEditor. Los efectos del error son los habituales para XSS: la capacidad de tomar el control de la sesión del usuario».
Este artículo ha sido actualizado para incluir el comentario de Michał Bentkowski.
MÁS INFORMACIÓN WordPress Terror: los investigadores descubren 5000 fallas de seguridad masivas en los complementos de Buggy