Alerta de Vulnerabilidades - Drupal

Foi publicada uma atualização de segurança da framework Drupal, que corrige as vulnerabilidades associadas à biblioteca CKEditor. O Drupal utiliza esta biblioteca para alterar o conteúdo das páginas (WYSIWYG). [1]

Caso estas vulnerabilidades sejam exploradas com sucesso, permitem que um atacante consiga criar e editar conteúdos através do WYSIWYG CKEditor e/ou realizar um ataque de Cross-Site Scripting (XSS) a quem também tenha acesso a esse editor (incluindo administradores).

Os utilizadores das versões afetadas devem atualizá-las para a sua versão mais recente:[1]

• Caso esteja a utilizar Drupal 9.2, atualize para Drupal 9.2.4 ou mais recente;
• Caso esteja a utilizar Drupal 9.1, atualize para Drupal 9.1.12 ou mais recente;
• Caso esteja a utilizar Drupal 8.9, atualize para Drupal 8.9.18 ou mais recente;

A versão Drupal 7 core não é afetada, no entanto recomenda-se que os gestores dos websites com Drupal 7, 8 e 9 sigam o protocolo para a gestão de bibliotecas externas e plugins sugeridos pela Equipa de Segurança da framework Drupal.[2]

Para mais informações, consulte a notificação das atualizações do CKEditor.[3]

[1] https://www.drupal.org/sa-core-2021-005

[2] https://www.drupal.org/psa-2011-002

[3] https://ckeditor.com/blog/ckeditor-4.16.2-with-browser-improvements-and-security-fixes/