• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Vulnerabilidad de Cross-Site Scripting en el core de Drupal

25/03/2019

=============================================
CVE-2019-6341
Fecha de lanzamiento: 21/03/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el core de Drupal

INFORMACIÓN

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

DESCRIPCIÓN

Bajo ciertas circunstancias, el módulo/subsistema de archivos permite que un usuario malicioso cargue un archivo que puede desencadenar una vulnerabilidad de Cross-Site Scripting (XSS).

SISTEMAS AFECTADOS

- Versiones 8.6.x anteriores a 8.6.13
- Versiones 8.5.x anteriores a 8.5.14
- Versiones 7.x anteriores a 7.65

SOLUCIÓN

- Para Drupal 8.6, actualizar a la versión 8.6.13
- Para Drupal 8.5 y anteriores, actualizar a la versión 8.5.14
- Para Drupal 7, actualizar a la versión 7.65

Las versiones de Drupal 8 anteriores a 8.5.x están en fase end-of-life y, por lo tanto, no reciben actualizaciones de seguridad.

FUENTE

https://www.incibe-cert.es/