Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Vulnerabilità critica di CKEditor in Drupal 7 e 8

CKEditor  CMS  cross-site scripting  Drupal   giovedì, 19 aprile 2018

Nella giornata del 18 marzo 2018 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “moderately critical” in CKEditor, una libreria JavaScript inclusa nel noto CMS Drupal versione 7.x e 8.x.

La vulnerabilità, di tipo cross-site scripting, è presente nel plugin Enhanced Image (image2), utilizzato anche dal codice “core” di Drupal 8. La vulnerabilità consente di eseguire un attacco XSS utilizzando il tag <img> inserito in codice HTML appositamente predisposto.

Questa vulnerabilità è stata risolta in CKEditor 4.9.2. Gli utenti di Drupal 8 debbono aggiornare l’applicazione ad una delle seguenti versioni:

  • Drupal 8.5.2
  • Drupal 8.4.7

CKEditor incluso in Drupal 7 non è affetto dalla vulnerabilità se viene utilizzato il modulo standard CKEditor 7.x-1.18 o dalla CDN (Content Delivery Network). Se si è installato CKEditor in Drupal 7 con altri metodi, è necessario aggiornare il modulo alla versione 4.9.2 scaricandolo dal sito ufficiale di CKEditor.

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma. In considerazione del fatto che CKEditor può essere integrato come estensione o plugin anche in altri CMS (come Joomla! o WordPress), si consiglia agli utenti di queste applicazioni di verificare coi rispettivi produttori la presenza di aggiornamenti specifici.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Risolta nuova vulnerabilità critica nel CMS Drupal sfruttata in attacchi reali

26 aprile 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "highly critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto

Vulnerabilità in VMware vRealize Automation

16 aprile 2018

VMware ha rilasciato un aggiornamento di sicurezza che corregge due vulnerabilità, di cui una di gravità elevata, nel prodotto VMware vRealize Automation.Leggi tutto

Aggiornamento di sicurezza critico per Drupal 7 e 8

29 marzo 2018

È stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata "highly critical" nel codice "core" del noto CMS Drupal versione 7.x e 8.x.Leggi tutto