-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [22/04/2021]: Vulnerabilidade crítica no CMS Drupal (CORE)


Prezados,

O CAIS alerta para uma vulnerabilidade crítica do CMS Drupal que pode permitir a realização de ataques do tipo cross-site scripting. Até o momento dessa publicação não foram encontrados relatos da exploração da vulnerabilidade.


DESCRIÇÃO

A API de sanitização do Drupal CORE apresenta uma falha ao filtrar incorretamente scripts entre sites em determinadas situações. Um usuário malicioso poderia explorar essa vulnerabilidade e realizar ataques do tipo cross-site scripting comprometendo dessa forma o CMS Drupal.

Nem todos os sites e usuários são afetados, mas mitigações visando evitar a exploração da vulnerabilidade podem ser impraticáveis e variam entre diversos ambientes. Os desenvolvedores do Drupal recomendam que todos os sites sejam atualizados para as versões mais atuais do CMS o mais rápido possível.



SISTEMAS IMPACTADOS

CMS Drupal (CORE)


VERSÕES AFETADAS

 - - - Drupal 9.1.x
 - - - Drupal 9.0.x
 - - - Drupal 8.9.x
 - - - Drupal 7.x


CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores e/ou de acordo com seu sistema em uso.No momento da publicação deste alerta as versões recomendas pelo time do Drupal são:
 - - - Drupal 9.1.7
 - - - Drupal 9.0.12
 - - - Drupal 8.9.14
 - - - Drupal 7.80



IDENTIFICADORES CVE (http://cve.mitre.org)

 - - -


MAIS INFORMAÇÕES
[1] https://www.drupal.org/sa-core-2021-002
[2] https://www.altagrade.com/blog/category/drupal
[3] https://www.mydropwizard.com/blog/drupal-6-core-security-update-sa-core-2021-002
[4] https://www.uky.edu/cms/aggregator/sources/5


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

Atenciosamente,


CAIS/RNP

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       https://www.rnp.br/sistema-rnp/cais   #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=Ibj6
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta