Vulnerabilidad crítica XSS en Drupal

Drupal ha liberado actualizaciones de seguridad para remediar vulnerabilidad crítica identificada como CVE-2020-13672, la API de desinfección del núcleo de Drupal no filtra correctamente las secuencias de comandos entre sitios en determinadas circunstancias.

No todos los sitios y usuarios se ven afectados, pero los cambios de configuración para evitar el exploit pueden no ser prácticos y variarán entre los sitios. Por lo tanto, es recomendable que todos los sitios sean actualizados a la última versión parchada lo antes posible.

Las versiones de afectadas son 7, 8 y 9 de Drupal y se recomienda realizar las siguientes actualizaciones para proteger los sitios web de posibles ataques:

  • Drupal 7.x, actualizar a Drupal 7.80
  • Drupal 8.9.x, actualizar a Drupal 8.9.14
  • Drupal 9.0.x, actualizar a Drupal 9.0.12
  • Drupal 9.1.x, actualizar a Drupal 9.1.7

Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil y no reciben cobertura de seguridad.

Referencias: