Jasper Mattsson

**Nome do software vulnerável e versões afetadas** Versões do Drupal Core anteriores à 9.1.7 Versões do Drupal Core anteriores à 9.0.12 Versões do Drupal Core anteriores à 8.9.14 Versões do Drupal Core anteriores à 7.80 **Descrição** Existe uma vulnerabilidade de Cross-site Scripting (XSS) devido à falha da API de sanitização em filtrar adequadamente scripts entre sites em determinadas circunstâncias. **Recomendações** Para versões anteriores à 9.1.7, atualize para a versão 9.1.7 ou posterior. Para versões anteriores à 9.0.12, atualize para a versão 9.0.12 ou posterior. Para versões anteriores à 8.9.14, atualize para a versão 8.9.14 ou posterior. Para versões anteriores à 7.80, atualize para a versão 7.80 ou posterior.

**Name of the Vulnerable Software and Affected Versions** Drupal versions 8.5.x before 8.5.11 Drupal versions 8.6.x before 8.6.10 **Description** Some field types do not properly sanitize data from non-form sources in Drupal. This can lead to arbitrary PHP code execution in some cases. A site is only affected by this if one of the following conditions is met: The site has the Drupal 8 core RESTful Web Services (rest) module enabled and allows PATCH or POST requests, or the site has another web services module enabled, like JSON:API in Drupal 8, or Services or RESTful Web Services in Drupal 7. **Recommendations** For Drupal 8.5.x, update to version 8.5.11 or later. For Drupal 8.6.x, update to version 8.6.10 or later. As a temporary workaround, consider disabling the RESTful Web Services (rest) module until a patch is available. Restrict access to the vulnerable module `rest` to minimize the risk of exploitation. Avoid using the `PATCH` or `POST` requests in the affected API endpoints until the issue is resolved.