Importancia: MEDIA

Descripción:

Se ha publicado una nueva actualización de seguridad para el gestor de contenidos Drupal, que soluciona una vulnerabilidad del tipo cross-site scripting (XSS).

¿A qué recursos afecta?

Drupal 8: versiones anteriores a 8.5.2 u 8.4.7. Drupal 7: si se instaló el editor CKEditor empleando un método distinto a CDN y se utiliza en una versión comprendida entre la 4.5.11 y la 4.9.1.

Solución:

La solución a este problema de seguridad es instalar la versión más reciente: Antes de realizar ninguna actualización del gestor de contenidos, es necesario realizar una copia de seguridad de la base de datos y de todos los ficheros que componen el sitio web, incluida una copia del fichero de configuración del portal. Además, se recomienda comprobar que se ha realizado dicha copia de seguridad y que llegado el momento, se podría recuperar. Cuando se instala el programa, se puede configurar el servicio de comprobación de actualizaciones automática, de tal forma que es el propio portal el que nos avisa de la existencia de nuevas actualizaciones. drupal1 Para actualizar Drupal, será necesario sobrescribir los archivos incluidos en el paquete de actualización. Una vez instalado, habrá que configurar aspectos básicos de Drupal hasta que nos indique que la actualización ha finalizado. Esta labor debe ser realizada por el personal técnico.

Detalle:

Esta actualización está destinada a solucionar una vulnerabilidad del CKEditor (biblioteca JavaScript), incluida en el núcleo de Drupal, que evitará ataques del tipo cross-site scripting (XSS). La vulnerabilidad se produce al ejecutar XSS dentro del CKEditor cuando se utiliza el plugin image2. Mediante este código insertado a través del XSS, un atacante podría cambiar la configuración del servidor, destruir el sitio web, secuestrar cuentas y sesiones de usuarios, escuchar comunicaciones (incluso cifradas), dirigir al usuario a sitios maliciosos, instalar publicidad en el sitio web y en general cualquier acción que desee de forma inadvertida para el administrador.

Si necesita soporte o asistencia, y se ha visto afectado por este engaño, desde Idea Consulting te ofrecemos su servicio de Respuesta y Soporte ante incidentes de seguridad.

¿Hablamos?

* Para cumplir con la nueva Ley de Protección de Datos y que tus datos estén a salvo, debes leer y aceptar mi politica de privacidad.

Tus datos están a salvo con nosotros porque cumplimos con el RGPD (Reglamento General de Protección de Datos) y esta es la info que debes saber:

  • Responsable: Idea Consulting (Idea Consultoría Informática S.L.)
  • Finalidad: Gestionar el envio de información y prospección comercial
  • Legitimación: Consentimiento interesado
  • Destinatarios: No se cederán datos salvo disposición legal
  • Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional
  • Información adicional: Puede consultar información adicional sobre Protección de Datos en nuestra politica de privacidad

Quiero suscribirme a la Newsletter de noticias