Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di CKEditor in Drupal 7 e 8

CKEditor  CMS  cross-site scripting  Drupal   giovedì, 19 aprile 2018

Nella giornata del 18 marzo 2018 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “moderately critical” in CKEditor, una libreria JavaScript inclusa nel noto CMS Drupal versione 7.x e 8.x.

La vulnerabilità, di tipo cross-site scripting, è presente nel plugin Enhanced Image (image2), utilizzato anche dal codice “core” di Drupal 8. La vulnerabilità consente di eseguire un attacco XSS utilizzando il tag <img> inserito in codice HTML appositamente predisposto.

Questa vulnerabilità è stata risolta in CKEditor 4.9.2. Gli utenti di Drupal 8 debbono aggiornare l’applicazione ad una delle seguenti versioni:

  • Drupal 8.5.2
  • Drupal 8.4.7

CKEditor incluso in Drupal 7 non è affetto dalla vulnerabilità se viene utilizzato il modulo standard CKEditor 7.x-1.18 o dalla CDN (Content Delivery Network). Se si è installato CKEditor in Drupal 7 con altri metodi, è necessario aggiornare il modulo alla versione 4.9.2 scaricandolo dal sito ufficiale di CKEditor.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma. In considerazione del fatto che CKEditor può essere integrato come estensione o plugin anche in altri CMS (come Joomla! o WordPress), si consiglia agli utenti di queste applicazioni di verificare coi rispettivi produttori la presenza di aggiornamenti specifici.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Aggiornamento di sicurezza per Drupal 8

3 agosto 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità nel codice core del noto CMS Drupal versione 8.x.Leggi tutto

Risolta grave vulnerabilità in WordPress 4.9.7

9 luglio 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una grave vulnerabilità del noto CMS WordPress, presente nelle versioni fino alla 4.9.6.Leggi tutto

Importanti aggiornamenti di sicurezza per Magento

2 luglio 2018

Sono stati rilasciati aggiornamenti di sicurezza per la piattaforma di e-commerce Magento che risolvono diverse vulnerabilità di cui una critica e altre 11 di gravità elevata.Leggi tutto