É hora de atualizar seus sites do Drupal, mais uma vez.
Pela segunda vez em um mês, o Drupal foi considerado vulnerável a outra vulnerabilidade crítica que poderia permitir que atacantes remotos realizassem ataques avançados, incluindo roubo de cookies, keylogging, phishing e roubo de identidade.
Descoberta pela equipe de segurança do Drupal, a estrutura de gerenciamento de conteúdo de código aberto é vulnerável a vulnerabilidades de cross-site scripting (XSS) que residem em um plug-in CKEditor que vem pré-integrado no núcleo do Drupal para ajudar administradores e usuários a criar conteúdo interativo .
O CKEditor é um popular editor de texto rico em WYSIWYG, baseado em JavaScript, que está sendo usado por muitos sites, bem como vem pré-instalado com alguns projetos populares da web.
De acordo com um comunicado de segurança divulgado pelo CKEditor, a vulnerabilidade do XSS vem da validação incorreta da tag “img” no plugin Enhanced Image para o CKEditor 4.5.11 e versões posteriores.
Isso pode permitir que um invasor execute código HTML e JavaScript arbitrário no navegador da vítima e obtenha acesso a informações confidenciais.
O plugin Enhanced Image foi introduzido no CKEditor 4.3 e suporta uma maneira avançada de inserir imagens no conteúdo usando um editor.
“A vulnerabilidade surgiu do fato de que era possível executar o XSS dentro do CKEditor ao usar o plugin image2 (que também usa o Drupal 8 core)”, disse a equipe de segurança do Drupal.
O CKEditor corrigiu a vulnerabilidade com o lançamento do CKEditor versão 4.9.2, que também foi corrigido no CMS pela equipe de segurança do Drupal com o lançamento do Drupal versão 8.5.2 e do Drupal 8.4.7.
Como o plugin CKEditor no Drupal 7.x está configurado para carregar dos servidores CDN, ele não é afetado pela falha.
No entanto, se você instalou o plugin CKEditor manualmente, é aconselhável baixar e atualizar seu plugin para a versão mais recente em seu site oficial.
O Drupal recentemente corrigiu outra vulnerabilidade crítica, chamada Drupalgeddon2, um bug de execução remota de código que permite que um invasor remoto não autenticado execute códigos maliciosos em instalações Drupal padrão ou sob os privilégios do usuário, afetando todas as versões do Drupal de 6 a 8.
No entanto, devido à preguiça das pessoas em consertar seus sistemas e sites em tempo hábil, a vulnerabilidade do Drupalgeddon2 foi encontrada explorando na natureza hackers para entregar mineradores de criptomoedas, backdoors e outros malwares.
Portanto, é altamente recomendado que os usuários sempre levem os avisos de segurança a sério e mantenham seus sistemas e softwares atualizados para evitar se tornarem vítimas de qualquer ataque cibernético.
