Проект: Drupal Core
Дата публикации: 19 января 2022
Риск безопасности: Умеренно критично. Critical 14∕25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Подделка межсайтовых запросов
¶Описание
В дополнение к проблеме, описанной в SA-CORE-2022-001, данный релиз также содержит исправления уязвимостей, которые могут повлиять исключительно на Drupal 7:
- CVE-2021-41182: XSS in the altField option of the Datepicker widget
- CVE-2021-41183: XSS in *Text options of the Datepicker widget
- CVE-2016-7103: XSS in closeText option of Dialog
- CVE-2010-5312: XSS in the title option of Dialog (applicable only to the jQuery UI version included in D7 core)
Drupal Steward не покрывает данную проблему.
¶Решение
Обновиться до актуальных версий:
- Если используете Drupal 7, обновитесь до Drupal 7.86
¶Ссылки
- SA-CORE-2022-002 (англ.), drupal.org, 19 января 2022
- jQuery UI 1.13.0 released (англ.), blog.jqueryui.com, 7 октября 2021
- CVE-2021-41182 (англ.), github.com, 26 октября 2021
- CVE-2021-41183 (англ.), github.com, 26 октября 2021
- CVE-2016-7103 (англ.), github.com, 26 октября 2021
- CVE-2010-5312 (англ.), github.com, 26 октября 2021
