Drupal abordou XSS e falhas de divulgação de informações

Os mantenedores do Drupal abordaram várias vulnerabilidades de divulgação de informações e cross-site scripting (XSS)  no popular sistema de gerenciamento de conteúdo (CMS).

O problema mais grave, rastreado como CVE-2020-13668, é um   problema XSS refletido crítico que afeta o Drupal 8 e 9. Vamos lembrar que o Drupal usa o  NIST Common Misuse Scoring System  para determinar a gravidade das vulnerabilidades, neste  comess crítico do sistema após nível mais alto que é “ altamente crítico” .

“Um invasor pode aproveitar a forma como o HTML é renderizado para os formulários afetados para explorar a vulnerabilidade.” lê o comunicado .

O comunicado afirma que o problema pode ser explorado apenas sob certas condições. As falhas restantes abordadas no CMS são classificadas como moderadamente críticas .

O primeiro é uma falha de divulgação de informações rastreada como falha CVE-2020-13670 XSS que afeta as versões 8 e 9 do CMS.

“Existe uma vulnerabilidade no módulo Arquivo que permite que um invasor obtenha acesso aos metadados de um arquivo privado permanente ao qual eles não têm acesso adivinhando a ID do arquivo.” lê o comunicado .

Uma segunda vulnerabilidade XSS moderadamente crítica abordada esta semana é uma falha de desvio de acesso rastreada CVE-2020-13667 que afeta o Drupal 8 e 9.

“O módulo de espaços de trabalho experimental permite que você crie vários espaços de trabalho em seu site, nos quais o conteúdo de rascunho pode ser editado antes de ser publicado no espaço de trabalho ativo.” lê o comunicado . “O módulo Workspaces não verifica suficientemente as permissões de acesso ao alternar entre os espaços de trabalho, levando a uma vulnerabilidade de desvio de acesso. Um invasor pode ser capaz de ver o conteúdo antes que o proprietário do site queira que as pessoas vejam o conteúdo. ”

O último problema é uma falha de script entre sites rastreada como CVE-2020-13669 que afeta o Drupal 7 e 8 e reside no recurso de legenda da imagem CKEditor do núcleo do Drupal.

“A funcionalidade de legenda de imagem CKEditor embutida do núcleo do Drupal é vulnerável a XSS.” continua o aviso.

O comunicado destaca que as versões do Drupal 8 anteriores a 8.8.x chegaram ao fim da vida útil e não recebem mais atualizações de segurança.

Fonte: https://securityaffairs.co/wordpress/108411/hacking/drupal-xss-information-disclosure-flaws.html