Drupal risolve vulnerabilità XSS insita nel core

21/03/2019

Drupal xss

Il team di sicurezza di Drupal ha emesso in data 20 Marzo l’avviso di sicurezza SA-CORE-2019-004 relativo ad una vulnerabilità classificata di livello “Moderatamente Critico”  riscontrata sulle versioni del CMS Drupal 7.x e 8.x.

Dettagli della vulnerabilità

[SA-CORE-2019-004] – Drupal Core – Cross Site Scripting

  • Impatto: Moderato
  • Gravità: Moderata
  • Versioni Interessate: 7.x e 8.x
  • Tipo Exploit: Cross Site Scripting

Descrizione: In determinate circostanze, il modulo/subsystem File consente a un utente malintenzionato di caricare un file che puo’ abilitare una vulnerabilita’ di tipo cross-site scripting (XSS).


    Remediation

    • Se si utilizza Drupal 8.6 eseguire l’aggiornamento alla versione di Drupal 8.6.13
    • Se si utilizza Drupal 8.5 o versioni precedenti, eseguire l’aggiornamento a Drupal 8.5.14.
    • Se si utilizza Drupal 7 eseguire l’aggiornamento a Drupal 7.65.

    Le versioni minori di Drupal 8 precedenti alla 8.5.x non sono supportate e non ricevono più aggiornamenti di sicurezza, quindi i siti con versioni precedenti devono essere aggiornati immediatamente alla versione 8.5.x sopra riportata. Le versioni 8.5.x riceveranno aggiornamenti di sicurezza fino a maggio 2019.

    Taggato  Drupal xss