Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di CKEditor in Drupal 7 e 8

CKEditor  CMS  cross-site scripting  Drupal   giovedì, 19 aprile 2018

Nella giornata del 18 marzo 2018 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “moderately critical” in CKEditor, una libreria JavaScript inclusa nel noto CMS Drupal versione 7.x e 8.x.

La vulnerabilità, di tipo cross-site scripting, è presente nel plugin Enhanced Image (image2), utilizzato anche dal codice “core” di Drupal 8. La vulnerabilità consente di eseguire un attacco XSS utilizzando il tag <img> inserito in codice HTML appositamente predisposto.

Questa vulnerabilità è stata risolta in CKEditor 4.9.2. Gli utenti di Drupal 8 debbono aggiornare l’applicazione ad una delle seguenti versioni:

  • Drupal 8.5.2
  • Drupal 8.4.7

CKEditor incluso in Drupal 7 non è affetto dalla vulnerabilità se viene utilizzato il modulo standard CKEditor 7.x-1.18 o dalla CDN (Content Delivery Network). Se si è installato CKEditor in Drupal 7 con altri metodi, è necessario aggiornare il modulo alla versione 4.9.2 scaricandolo dal sito ufficiale di CKEditor.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma. In considerazione del fatto che CKEditor può essere integrato come estensione o plugin anche in altri CMS (come Joomla! o WordPress), si consiglia agli utenti di queste applicazioni di verificare coi rispettivi produttori la presenza di aggiornamenti specifici.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Vulnerabilità multiple in prodotti Splunk

19 ottobre 2018

Sono stati recentemente rilasciati aggiornamenti che correggono gravi vulnerabilità nei prodotti Splunk Enterprise e Splunk Light.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

18 ottobre 2018

È stato rilasciato un aggiornamento di sicurezza che risolve diverse vulnerabilità critiche nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.8.13

11 ottobre 2018

Il Joomla! Project ha rilasciato la versione 3.8.13 del suo CMS che risolve 5 vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto