Drupal abordou XSS e falhas de divulgação de informações
Os mantenedores do Drupal abordaram várias falhas de divulgação de informações e cross-site scripting (XSS) no popular sistema de gerenciamento de conteúdo (CMS).
Os mantenedores do Drupal abordaram várias vulnerabilidades de divulgação de informações e cross-site scripting (XSS) no popular sistema de gerenciamento de conteúdo (CMS).
O problema mais grave, rastreado como CVE-2020-13668, é um problema XSS refletido crítico que afeta o Drupal 8 e 9. Vamos lembrar que o Drupal usa o NIST Common Misuse Scoring System para determinar a gravidade das vulnerabilidades, neste comess crítico do sistema após nível mais alto que é “ altamente crítico” .
“Um invasor pode aproveitar a forma como o HTML é renderizado para os formulários afetados para explorar a vulnerabilidade.” lê o comunicado .
O comunicado afirma que o problema pode ser explorado apenas sob certas condições. As falhas restantes abordadas no CMS são classificadas como moderadamente críticas .
O primeiro é uma falha de divulgação de informações rastreada como falha CVE-2020-13670 XSS que afeta as versões 8 e 9 do CMS.
“Existe uma vulnerabilidade no módulo Arquivo que permite que um invasor obtenha acesso aos metadados de um arquivo privado permanente ao qual eles não têm acesso adivinhando a ID do arquivo.” lê o comunicado .
Uma segunda vulnerabilidade XSS moderadamente crítica abordada esta semana é uma falha de desvio de acesso rastreada CVE-2020-13667 que afeta o Drupal 8 e 9.
“O módulo de espaços de trabalho experimental permite que você crie vários espaços de trabalho em seu site, nos quais o conteúdo de rascunho pode ser editado antes de ser publicado no espaço de trabalho ativo.” lê o comunicado . “O módulo Workspaces não verifica suficientemente as permissões de acesso ao alternar entre os espaços de trabalho, levando a uma vulnerabilidade de desvio de acesso. Um invasor pode ser capaz de ver o conteúdo antes que o proprietário do site queira que as pessoas vejam o conteúdo. ”
O último problema é uma falha de script entre sites rastreada como CVE-2020-13669 que afeta o Drupal 7 e 8 e reside no recurso de legenda da imagem CKEditor do núcleo do Drupal.
“A funcionalidade de legenda de imagem CKEditor embutida do núcleo do Drupal é vulnerável a XSS.” continua o aviso.
O comunicado destaca que as versões do Drupal 8 anteriores a 8.8.x chegaram ao fim da vida útil e não recebem mais atualizações de segurança.
Fonte: https://securityaffairs.co/wordpress/108411/hacking/drupal-xss-information-disclosure-flaws.html