2024年4月22日 星期一

[研究]ckeditor 4.22.1 的 CVE 弱點、EOS (End Of Service)

[研究]ckeditor 4.22.1 的 CVE 弱點、EOS (End Of Service)

2024-04-22

Copilot

根據 Snyk 的資料,CKEditor 4.22.1 存在兩個 Cross-site Scripting (XSS) 弱點:

CDATA 檢測不正確的 XSS 弱點:這個弱點允許惡意的 HTML 內容注入,繞過進階內容過濾機制,可能導致 JavaScript 代碼的執行。攻擊者可以利用這個漏洞來發動攻擊,特別是對於啟用了全頁面編輯模式或允許 CDATA 元素的實例。建議升級到 4.24.0 或更高版本 以修復這個問題1。

預覽功能的 XSS 弱點:這個問題影響了啟用了預覽功能的樣本,特別是在 samples/old/**/*.html 和 plugins/[plugin name]/samples/**/*.html 路徑下。同樣,建議升級到 4.24.0 或更高版本 以修復這個問題。

此外,Checkmarx 安全研究團隊也發現了一個存儲型跨站腳本(XSS)漏洞(CVE-2021-33829),影響了 CKEditor 4 的編輯模式。這個漏洞可能影響許多環境,例如博客、內容管理系統和其他接受用戶富文本內容的網站。

Snyk 的 CKEditor 4.22.0 弱點資料
https://security.snyk.io/package/npm/ckeditor4/4.22.0

Checkmarx 關於 CVE-2021-33829 的報告
https://checkmarx.com/blog/cve-2021-33829-stored-xss-vulnerability-discovered-in-ckeditor4-affects-widely-used-cms/

CKEditor 4.22.0 / 4.22.1 的變更紀錄
https://ckeditor.com/cke4/release-notes

CKEditor 4: End of Life June 2023
https://ckeditor.com/blog/ckeditor-4-end-of-life/

(完)


張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)