<div dir="ltr">View online: <a href="https://www.drupal.org/sa-contrib-2021-046" rel="noreferrer" target="_blank">https://www.drupal.org/sa-contrib-2021-046</a><br><br>Project: Search API Pages [1]<br>Date: 2021-December-08<br>Security risk: *Critical* 16∕25<br>AC:None/A:None/CI:Some/II:Some/E:Theoretical/TD:Uncommon [2]<br>Vulnerability: Cross Site Scripting<br><br>Description: <br>This module enables you to create simple search pages based on Search API<br>without the use of Views.<br><br>The module doesn’t sufficiently escape all variables provided for custom<br>templates.<br><br>This vulnerability is mitigated by the fact that the default template<br>provided by the module is not affected.<br><br>Solution: <br>Install the latest version:<br><br>   * If you use the Search API Pages module for Drupal 7.x, upgrade to Search<br>     API Pages 7.x-1.6 [3]<br><br>Reported By: <br>   * Duncan Davidson [4]<br><br>Fixed By: <br>   * Damien McKenna [5] of the Drupal Security Team<br>   * Duncan Davidson [6]<br>   * Thomas Seidl [7]<br>   * Joris Vercammen [8]<br><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div></div>