CVE-2024-12393

Nome do software vulnerável e versões afetadas:

Versões do Drupal Core 8.8.0 a 10.2.11

Versões do Drupal Core 10.3.0 a 10.3.9

Versões do Drupal Core 11.0.0 a 11.0.8

Descrição:

O problema está relacionado à proteção insuficiente da estrutura da página da web, permitindo que um invasor realize um ataque de cross-site scripting (XSS). Isso se deve à neutralização inadequada da entrada durante a geração da página da web, o que possibilita o cross-site scripting. O problema afeta o Drupal Core, permitindo que invasores explorem essa falha e levando a um XSS.

Recomendações:

Para as versões do Drupal Core 8.8.0 a 10.2.11, atualize para a versão 10.2.11 ou posterior.

Para as versões do Drupal Core 10.3.0 a 10.3.9, atualize para a versão 10.3.9 ou posterior.

Para as versões do Drupal Core 11.0.0 a 11.0.8, atualize para a versão 11.0.8 ou posterior.

Como solução temporária, considere restringir o uso de JavaScript para renderizar mensagens de status em certos casos e configurações, a fim de minimizar o risco de exploração.