Recientemente se han reportado dos vulnerabilidades por las que si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición WYSIWYG, un atacante que pudiera crear o editar contenido (incluso sin acceso al propio CKEditor) podría ser capaz de explotar una o más vulnerabilidades de Cross-Site Scripting (XSS).

Los recursos afectados son los siguientes: 

• Drupal versión 9.2;
• Drupal versión 9.1;
• Drupal versión 8.9.

Descripción:

• Vulnerabilidad en los comentarios HTML que permite ejecutar código JavaScript. Se ha asignado el identificador CVE-2021-41165 para esta vulnerabilidad.
• Vulnerabilidad del Filtro de Contenido Avanzado (ACF) que permite ejecutar código JavaScript utilizando HTML malformado. Se ha asignado el identificador CVE-2021-41164 para esta vulnerabilidad.

Recomendaciones:

Realizar lo antes posibles las actualizaciones de software correspondientes:

• Drupal 9.2, actualizar a Drupal 9.2.9;
• Drupal 9.1, actualizar a Drupal 9.1.14;
• Drupal 8.9, actualizar a Drupal 8.9.20.

Referencias:

• https://www.drupal.org/sa-core-2021-011