Aunque las compañías tomen todas las medidas necesarias para proteger su infraestructura informática, basta con que se presente un incidente de ciberseguridad en un tercero para que se altere la aparente seguridad. Esto es lo que ha ocurrido en un componente relacionado con múltiples plataformas, entre ellas Drupal, el popular sistema de gestión de contenidos (CMS).
En una alerta de ciberseguridad se menciona que existe una vulnerabilidad de scritps entre sitios (XSS) en CKEditor, un editor de texto incluido en múltiples aplicaciones en línea.
Se menciona que un actor de amenazas podría explotar esta vulnerabilidad XSS para atacar a usuarios con acceso a CKEditor, lo que podría incluir a administradores de sitios con altos privilegios.
Cabe mencionar que la explotación de esta vulnerabilidad es altamente compleja, además de que los hackers requieren engañar a las víctimas para que copien código HTML especialmente diseñado para posteriormente pegarlo en CKEditor en modo “WYSIWYG”. Al respecto, los desarrolladores de CKEditor mencionan: “La explotación es un escenario poco probable, no obstante, recomendamos a nuestros usuarios actualizar a la más reciente versión del editor de texto”.
CKEditor anunció el lanzamiento de la versión 4.14, que contiene las correcciones para atender esta vulnerabilidad. Según el reporte de los desarrolladores, la falla reside en el procesador de datos HTML y fue identificada por los investigadores de la firma de seguridad Securitum.
Por su parte, Drupal emitió un comunicado solicitando a sus usuarios actualizar a la versión del CMS que contiene la versión de CKEditor actualizada. En otras palabras, los administradores de sitios web deberán actualizar a las versiones 8.8.4 o 8.7.12 de Drupal.
Finalmente, Drupal mencionó en su alerta de seguridad que esta es una falla de severidad media, aunque no deja de mencionar que es necesario actualizar a las versiones corregidas.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.