Drupal ha liberado actualizaciones de seguridad para remediar vulnerabilidad crítica identificada como CVE-2020-13672, la API de desinfección del núcleo de Drupal no filtra correctamente las secuencias de comandos entre sitios en determinadas circunstancias.
No todos los sitios y usuarios se ven afectados, pero los cambios de configuración para evitar el exploit pueden no ser prácticos y variarán entre los sitios. Por lo tanto, es recomendable que todos los sitios sean actualizados a la última versión parchada lo antes posible.
Las versiones de afectadas son 7, 8 y 9 de Drupal y se recomienda realizar las siguientes actualizaciones para proteger los sitios web de posibles ataques:
- Drupal 7.x, actualizar a Drupal 7.80
- Drupal 8.9.x, actualizar a Drupal 8.9.14
- Drupal 9.0.x, actualizar a Drupal 9.0.12
- Drupal 9.1.x, actualizar a Drupal 9.1.7
Las versiones de Drupal 8 anteriores a la 8.9.x están al final de su vida útil y no reciben cobertura de seguridad.
Referencias: