Вторник, 23 февраля, 00:22
дома Новости CKEditor: выпущены обновления для версий 8.8.x и 8.7.x

CKEditor: выпущены обновления для версий 8.8.x и 8.7.x

Η группа Внедрение Drupal выпустило обновления безопасности для версий 8.8.x и 8.7.x, которые имеют дело с двумя уязвимостями XSS, затрагивающими CKEditor, преемника FCKeditor. Это популярный, отличный и с открытым исходным кодом WYSIWYG процессор.

Drupal использует CKEditor, который был обновлен до версии 4.14, которая устраняет эти уязвимости XSS.

«Проект Drupal использует библиотеку CKEditor, которая выпустила некоторые обновления безопасности, необходимые для защиты определенных конфигураций Drupal». говорится в объявлении Drupal.

«Εypatheias безопасность вероятна, если Drupal использует WYSIWYG для них пользователи вашего сайта. Хакер, который может создавать или редактировать контент, может воспользоваться этой уязвимостью в XSS (межсайтовом скриптинге) и нацеливаться на пользователей, имеющих доступ к WYSIWYG CKEditor, например, привилегированных администраторов. Обе эти проблемы были оценены как умеренная критичность и получили оценку риска 13/25.

Последние версии Drupal, версии 8.8.4 или 8.7.12, включают в себя версию 4.14 CKEditor, которая решает обе проблемы.

Версии Drupal 8 до 8.7.x больше не будут загружаться обновления безопасность. Drupal 7 также не подвержен влиянию вышеуказанного проблема, но рекомендуется использовать CKEditor версии 4.14 или новее. Однако риск эксплуатации можно свести к нулю, отключив CKEditor.

Например, один из дефектов в XSS влияет на его процессор HTML. еЧто можно использовать, поместив вредоносный HTML-код в редактор, либо в режиме WYSIWYG, либо в режиме исходного кода.

Другая проблема касается стороннего плагина под названием WebSpellChecker Dialog, который включен в CKEditor 4. По умолчанию. Он может быть использован злоумышленником, заставляя жертву изменить способ работы CKEditor в исходном режиме. Затем злоумышленник может добавить вредоносный код и просмотреть содержимое страницы после того, как жертва вернулась в WYSIWYG.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

ЖИВЫЕ НОВОСТИ

00: 03: 39

Топ-лист игр Xbox Game Pass на 2021 год

https://www.youtube.com/watch?v=zJLiVBYFACw Μία από τις κορυφαίες πλατφόρμες με παιχνίδια για το Xbox και το PC σας σε προνομιακή...

Цена на биткойн упала на 10.000 долларов за 24 часа

После нескольких недель устойчивого роста цена биткойнов резко упала. Более 10.000 XNUMX ...

iPhone / iPad: как автоматически удалять старые текстовые сообщения

По умолчанию на вашем iPhone и iPad хранятся все полученные вами текстовые сообщения iMessage и SMS. В результате вы могли ...

Tesla: крупнейшая в мире аккумуляторная система добивается прогресса

Новое видео, снятое дроном, показывает, что Tesla продвигается к завершению проекта Moss Landing Megapack, который ...

SonicWall выпускает дополнительное обновление для уязвимости SMA 100

SonicWall выпустила второе обновление прошивки для уязвимости нулевого дня SMA-100, которая, как известно, используется в атаках, и предупреждает, говоря ...

Китайские хакеры клонировали инструмент, принадлежащий NSA Equation Group

Китайские хакеры "клонировали" и годами использовали уязвимость нулевого дня для Windows, украденную NSA Equation Group, говорят ...

Underwriters Laboratories (UL) подверглась атаке программы-вымогателя

UL LLC, известная как Underwriters Laboratories, подверглась атаке с использованием программ-вымогателей, в которой ее серверы были зашифрованы и вынуждены закрыться ...

В сеть просочилось изображение AirPods от Apple третьего поколения

В Интернет просочилось изображение, на котором изображены AirPods Apple третьего поколения. Изображение было анонсировано 52audio. Ей...

Крогер: утечка данных раскрывает данные сотрудников

Гигантская сеть супермаркетов Kroger пострадала от утечки данных после взлома службы, используемой для безопасной передачи файлов ...

Новый брандмауэр Chrome для iOS блокирует вкладки в режиме инкогнито с помощью Face ID

Google Chrome для iOS получает новую функцию конфиденциальности, которая позволяет пользователям блокировать открытые вкладки в режиме инкогнито и ...