Drupal: avviso di sicurezza SA-CORE-2018-003

19/04/2018

CMS Drupal
 
 
In data 18 Aprile 2018 il team di gestione di Drupal ha emesso l’avviso di sicurezza SA-CORE-2018-003 relativo ad una vulnerabilità moderatamente critica (12/25) di tipo XSS (Cross Site Scripting) riscontrata in CKEditor, una libreria JavaScript di terze parti inclusa nel core Drupal, che convalida impropriamente i tag “img” nel plugin Enhanced Image di CKEditor 4.5.11 e versioni successive.
La vulnerabilità, che potrebbe consentire ad un malintenzionato di eseguire codice HTML e JavaScript arbitrario nel browser della vittima per ottenere l’accesso a informazioni riservate, è stata individuata dal team di CKEditor che ha provveduto al rilascio del software correttivo e al coordinamento del processo di correzione.
 
Raccomandazioni e soluzioni
 
Per gli utilizzatori di Drupal 8 occorre aggiornare a Drupal 8.5.2 o Drupal 8.4.7.
 
Per Drupal 7.x il modulo CKEditor non è interessato dalla falla se si sta utilizzando la versione 7.x-1.18 e si usa CKEditor da CDN, poiché attualmente utilizza una versione della libreria CKEditor non vulnerabile.
 
Se è installato CKEditor in Drupal 7 usando un altro metodo (ad esempio con il modulo WYSIWYG o il modulo CKEditor locale) e si sta utilizzando una versione di CKEditor dalla 4.5.11 fino alla 4.9.1, è necessario aggiornare la libreria JavaScript di terze parti scaricando CKEditor 4.9.2 dal sito di CKEditor.
 
I gestori di siti basati su Drupal sono invitati ad aggiornare quanto prima la versione eventualmente affetta dopo aver letto le note di rilascio e l’annuncio di sicurezza A-CORE-2018-003.
Taggato  CMS Drupal