Si eres usuario de Drupal, esto te interesa

Si eres usuario de Drupal, esto te interesa

Impotancia: MEDIA

¿Descripción:?

Se ha publicado una nueva actualización de seguridad para el gestor de contenidos Drupal, que soluciona una vulnerabilidad del tipo cross-site scripting (XSS) en Drupal 8.

¿A qué recursos afecta?

Drupal 8: versiones anteriores a 8.5.2 u 8.4.7.
Drupal 7: si se instaló el editor CKEditor empleando un método distinto a CDN y se utiliza en una versión comprendida entre la 4.5.11 y la 4.9.1.

Solución:

La solución a este problema de seguridad es instalar la versión más reciente del Drupal:

Antes de realizar ninguna actualización del gestor de contenidos Drupal, es necesario realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Además, se recomienda comprobar que se ha realizado dicha copia de seguridad y que llegado el momento, se podría recuperar.

Cuando se instala Drupal, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal de Drupal el que nos avisa de la existencia de nuevas actualizaciones.

drupal1

Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización.

Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

Detalle:

Esta actualización está destinada a solucionar una vulnerabilidad del CKEditor (biblioteca JavaScript), incluida en el núcleo de Drupal, que evitará ataques del tipo cross-site scripting (XSS). La vulnerabilidad se produce al ejecutar XSS dentro del CKEditor cuando se utiliza el plugin image2.

Mediante este código insertado a través del XSS, un atacante podría cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y en general cualquier acción que desee de forma inadvertida para el administrador.

Si necesita soporte o asistencia, y se ha visto afectado por este engaño, desde Idea Consulting te ofrecemos su servicio de Respuesta y Soporte ante incidentes de seguridad.

Deja un comentario