Se ha detectado una vulnerabilidad en una librería JavaScript incluida en Drupal que permitía a un atacante con privilegios de usuario realizar un ataque de tipo cross scripting en CKEditor.
La vulnerabilidad se debió al hecho de que era posible ejecutar XSS dentro de CKEditor cuando se usaba el imagen2 complemento.
El CMS Drupal 8 se vería afectado en sus versiones anteriores a 8.5.2 y 8.4.7 y en la versión Drupal 7 si se instaló CKEditor utilizando un método diferente a CDN y/o se utiliza una versión de CKEditor 4.5.11 a 4.9.1.
El módulo contribuido Drupal 7.x CKEditor no se ve afectado si está ejecutando el módulo 7.x-1.18 de CKEditor y está usando CKEditor desde la CDN, ya que actualmente utiliza una versión de la biblioteca CKEditor que no es vulnerable.
La solución es para Drupal 8, actualizar a 8.5.2 o 8.4.7. En el caso de Drupal 7, actualizar CKEditor 4.9.2.
Para más información os recomendamos que visitéis la web de Drupal.
