文本编辑瑕疵产生CVE
更新第三方库组件中的脆弱性对依赖它的软件包(包括Drupal内容管理系统)产生了连锁反应。
问题涉及跨站脚本((XSS)ckeditor中的错误,这是一个富有的文本编辑器,与各种在线应用程序捆绑在一起。
攻击者可能能够利用XSS漏洞来访问CKEditor的目标用户。这可能包括具有特权访问权限的站点管理员。
剥削远非直接,将涉及欺骗潜在的受害者在将其粘贴到“ Wysiwyg”模式下将其粘贴到Ckeditor之前复制恶性制作的HTML代码。
“尽管这是一个不太可能的情况,但我们建议您升级到最新的编辑版本,” Ckeditor的开发人员在咨询,本月初发布。
ckeditor 4.14修复了此XSS脆弱性在Securitum的MichałBentkowski发现的HTML数据处理器中,以及在第三方WebSpellChecker对话插件中提供的改进和分辨率。beplay体育能用吗
一个咨询从周三发行的Drupal中,指示用户更新到具有CKEditor更新版本的CMS版本,以减轻漏洞。
实际上,这意味着升级到Drupal 8.8.4或Drupal 8.7.12。
Drupal将安全漏洞描述为“中等至关重要”,即使攻击者需要能够创建或编辑内容才能尝试开发。
Bentkowski告诉每日swbeplay2018官网ig很多服务都使用了CKEditor,“根据我的经验,我会说这是最受欢迎的Web Wysiwyg编辑,以及Tinymce。”beplay体育能用吗
安全研究人员继续解释了他是如何发现缺陷的。
Bentkowski解释说:“在分析各种Wysiwyg编辑者如何处理粘贴HTML内容时,我遇到了这个错误。”“我会说它的严重性是中等的:用户需要从恶意网站复制一些东西,然后在CKEditor中粘贴。该错误的影响与XSS:接管用户会话的能力一样。”beplay体育能用吗
本文已更新,包括MichałBentkowski的评论。
阅读更多 WordPress恐怖:研究人员在越野插件中发现了一个巨大的安全缺陷