Проект: Drupal Core
Дата публикации: 19 января 2022
Риск безопасности: Умеренно критично. Critical 14∕25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Подделка межсайтовых запросов
¶Описание
jQuery UI — сторонняя библиотека, используемая в Drupal. Ранее считалось что поддержка библиотеки прекращена.
Позднее, в 2021 году, jQuery UI анонсировали что они продолжат разработку, а заодно и выпустили новый релиз jQuery UI 1.13.0. В данном релизе они раскрыли следующую проблему безопасности, которая может повлиять на Drupal:
- CVE-2021-41183: XSS in the of option of the .position() util
Есть вероятность, что данную уязвимость можно использовать в связке с некоторыми модулями для Drupal. В целях предосторожности, были применены соответствующие изменения в jQuery версию, используемую в Drupal.
Drupal Steward не покрывает данную проблему.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 9.3.x, обновитесь до Drupal 9.3.3.
- Если используете Drupal 9.2.x, обновитесь до Drupal 9.2.11.
¶Ссылки
- SA-CORE-2022-001 (англ.), drupal.org, 19 января 2022
- jQuery UI 1.13.0 released (англ.), blog.jqueryui.com, 7 октября 2021
- CVE-2021-41183 (англ.), github.com, 26 октября 2021
