Vulnerabilità in CKEditor per Drupal

19/03/2020

CMS Drupal Vulnerabilità

 

Drupal ha rilasciato un avviso di sicurezza SA-CORE-2020-001 relativo ad una vulnerabilità in una libreria di terze parti denominata CKEditor. La vulnerabilità è stata classificata di livello “mediamente critico”.

Descrizione della vulnerabilità

Qualora il CMS Drupal in uso fosse configurato per utilizzare WYSIWYG CKEditor, la vulnerabilità potrebbe essere sfruttata per eseguire attacchi di tipo Cross Site Scription (XSS). A tal proposito CKEditor ha già rilasciato una nota nella quale annuncia il fix per la versione 4.14.

Lo sfruttamento non è immediato, la vittima dovrebbe compiere i seguenti passaggi: dalla modalità sorgente di CKEditor dovrebbe incollare il codice HTML appositamente predisposto e poi tornare nella modalità WYSIWYG.

Sebbene si tratti di uno scenario improbabile, gli sviluppatori consigliano comunque di eseguire l’aggiornamento all’ultima versione dell’editor.

Mitigazione

Le ultime versioni di Drupal aggiornano CKEditor alla versione 4.14 per mitigare le vulnerabilità:

  • Se si utilizza Drupal 8.8.x eseguire l’aggiornamento a Drupal 8.8.4;
  • Se si utilizza Drupal 8.7.x, eseguire l’aggiornamento  a Drupal 8.7.12;
  • È possibile inoltre disabilitare il modulo CKEditor per mitigare momentaneamente la vulnerabilità.

Drupal 7 core non è interessato da questa versione; tuttavia, gli utenti che hanno installato CKEditor dovrebbero assicurarsi che sia aggiornato a CKEditor 4.14 o versione successiva o che gli URL CDN puntino a una versione di CKEditor 4.14 o versione successiva.

Conclusioni

Come di consueto, il CERT-PA consiglia di procedere all’aggiornamento dei CMS (Content Management System) dei siti istituzionali, compresi i plug-in installati.