DRUPAL-CORE-2022-001

jQuery UI est une bibliothèque tierce utilisée par Drupal. On pensait auparavant que cette bibliothèque était en fin de vie. Fin 2021, jQuery UI a annoncé qu'elle poursuivrait son développement et a publié une version [jQuery UI 1.13.0](https://blog.jqueryui.com/2021/10/jquery-ui-1-13-0-released/). Dans le cadre de cette mise à jour 1.13.0, ils ont divulgué le problème de sécurité suivant qui pourrait affecter Drupal 9 et 7 : * CVE-2021-41184 : [XSS dans l'option `of` de l'utilitaire `.position()` ](https://github.com/jquery/jquery-ui/security/advisories/GHSA-gpqq-952q-5327) Il est possible que cette vulnérabilité soit exploitable avec certains modules Drupal. Par mesure de précaution, cette version de sécurité de Drupal applique le correctif pour le problème de description intersite ci-dessus, sans apporter aucune des autres modifications à la version de jQuery incluse dans Drupal. Cet avis n'est pas couvert par [Drupal Steward](/steward).