Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Vulnerabilità

Aggiornamento di sicurezza critico per Drupal 8

CMS  cross-site scripting  Drupal   venerdì, 20 marzo 2020

Nella giornata del 18 marzo 2020 è stato rilasciato un aggiornamento di sicurezza che risolve una vulnerabilità considerata “moderately critical” nel codice “core” del noto CMS Drupal versione 8.x.

La vulnerabilità è presente nella libreria di terze parti CKEditor, lo strumento di editing dei contenuti WYSIWYG di default di Drupal. Se sfruttata con successo, questa vulnerabilità può consentire attacchi di tipo cross-site scripting (XSS) ai danni degli utenti che utlizzano l’editor, inclusi gli amministratori del sito.

Questa vulnerabilità è stata risolta nelle seguenti versioni di Drupal:

  • Drupal 8.8.4
  • Drupal 8.7.12

Si raccomanda a tutti i gestori di siti Web che utilizzano questo CMS di aggiornare prima possibile la propria piattaforma.

Drupal 7.x non risulta affetto dalla vulnerabilità in oggetto, ma nel caso in cui sia stata installata la libreria CKEditor si raccomanda di verificare che questa sia aggiornata alla versione 4.14 o successiva.

Per maggiori dettagli sulla vulnerabilità e sugli aggiornamenti disponibili è possibile consultare il bollettino relativo nella sezione Security Advisories del sito di Drupal (in Inglese):

Notizie correlate

Aggiornamenti di sicurezza per Moodle (marzo 2020)

16 marzo 2020

Sono stati rilasciati aggiornamenti di sicurezza che risolvono 4 vulnerabilità di cui due di gravità elevata nella piattaforma di e-learning open source Moodle.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.9.16

16 marzo 2020

Il Joomla! Project ha rilasciato la versione 3.9.16 del suo CMS che risolve 6 vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto

Risolte diverse vulnerabilità in Joomla! 3.9.15

30 gennaio 2020

Il Joomla! Project ha rilasciato la versione 3.9.15 del suo CMS che risolve tre vulnerabilità di bassa gravità nel codice "core" dell'applicazione.Leggi tutto