Boletín de Seguridad UNAM-CERT-2022-004 Actualizaciones de seguridad liberadas para Drupal (SA-CORE-2022-002)

Descripción

La biblioteca JQuery UI utilizada por Drupal estaba el final de su vida útil. Sin embargo, a fines de 2021, JQuery UI anunció que continuaría con el desarrollo y liberó una actualización (JQuery UI 1.13.) pero revelaron un problema de seguridad que puede afectar solo a Drupal 7:

CVE-2021-41182: Cross Site Scripting (XSS) en la opción altField del widget Datepicker
CVE-2021-41183: Cross Site Scripting (XSS) en las opciones *Text del widget Datepicker

Además, se agregan otras vulnerabilidades que no fueron revisadas previamente en la versión de JQuery UI en Drupal 7 el en módulo JQuery Update:

CVE-2016-7103: Cross Site Scripting (XSS) en la opción closeText de Dialog
CVE-2010-5312: Cross Site Scripting (XSS) en la opción de título de Dialog (aplica solo para la versión de jQuery UI incluida en el núcleo de Drupal 7)

Sistemas afectados

• Drupal 7

Impacto

Es posible que esta vulnerabilidad sea explotable con algunos módulos de Drupal o código personalizado. Cuando un atacante explota la vulnerabilidad de Cross Site Scripting (XSS) e inyecta el script malicioso puede realizar diversas actividades maliciosas como transferir información privada, enviar solicitudes maliciosas, entre otras.

Solución

Aplicar las actualizaciones

• Si utiliza Drupal 7, actualizar a Drupal 7.86

Referencias

• https://www.drupal.org/sa-core-2022-002
• https://nvd.nist.gov/vuln/detail/CVE-2021-41182
• https://nvd.nist.gov/vuln/detail/CVE-2021-41183
• https://nvd.nist.gov/vuln/detail/CVE-2016-7103
• https://nvd.nist.gov/vuln/detail/CVE-2010-5312