-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [23/04/2019]: Vulnerabilidades no CMS Drupal (CORE)

Prezados,

O CAIS alerta para a recente vulnerabilidade crítica encontrada no CMS Drupal, exploração de vulnerabilidade do tipo Cross-Site-Script (XSS). Até o momento da publicação deste alerta, não foram identificados códigos de exploração para a vulnerabilidade identificada.


DESCRIÇÃO

A vulnerabilidade se refere à possibilidade de exploração de uma vulnerabilidade na função jQuery do módulo principal do Drupal. O objeto jQuery.extend, ao não ser corretamente sanitizada, pode permitir que seu conteúdo seja extendido ao objeto nativo jQuery.prototype, o que pode resultar na possibilidade de injeção de códigos maliciosos dentro do ambiente do Drupal.


SISTEMAS IMPACTADOS

Sistemas utilizando Drupal.


VERSÕES AFETADAS

Versão 8.6.x e todas as versões anteriores.
Versão 8.5.x e todas as versões anteriores
Versão 7.x.


CORREÇÕES DISPONÍVEIS

Atualizar a versão do CMS Drupal para a versão mais recente disponibilizada pelos desenvolvedores:
 - - 8.6.15 para versões 8.6.x
 - - 8.5.15 para versões 8.5.x
 - - 7.66 para versões 7.x.


IDENTIFICADORES CVE (http://cve.mitre.org)

CVE-2019-11358


MAIS INFORMAÇÕES

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11358
https://www.drupal.org/sa-core-2019-006
https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/


O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos!
Twitter: @RedeRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.


################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# cais@cais.rnp.br       http://www.rnp.br/servicos/seguranca  #
# Tel. 019-37873300      Fax. 019-37873301                     #
# Chave PGP disponivel   https://www.cais.rnp.br/cais-pgp.key  #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: OpenPGP.js v2.6.2
Comment: https://openpgpjs.org
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=14Ke
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta@listas.rnp.br
http://listas.rnp.br/mailman/listinfo/rnp-alerta