Η группа Внедрение Drupal выпустило обновления безопасности для версий 8.8.x и 8.7.x, которые имеют дело с двумя уязвимостями XSS, затрагивающими CKEditor, преемника FCKeditor. Это популярный, отличный и с открытым исходным кодом WYSIWYG процессор.
Drupal использует CKEditor, который был обновлен до версии 4.14, которая устраняет эти уязвимости XSS.
«Проект Drupal использует библиотеку CKEditor, которая выпустила некоторые обновления безопасности, необходимые для защиты определенных конфигураций Drupal». говорится в объявлении Drupal.
«Εypatheias безопасность вероятна, если Drupal использует WYSIWYG для них пользователи вашего сайта. Хакер, который может создавать или редактировать контент, может воспользоваться этой уязвимостью в XSS (межсайтовом скриптинге) и нацеливаться на пользователей, имеющих доступ к WYSIWYG CKEditor, например, привилегированных администраторов. Обе эти проблемы были оценены как умеренная критичность и получили оценку риска 13/25.
Последние версии Drupal, версии 8.8.4 или 8.7.12, включают в себя версию 4.14 CKEditor, которая решает обе проблемы.
Версии Drupal 8 до 8.7.x больше не будут загружаться обновления безопасность. Drupal 7 также не подвержен влиянию вышеуказанного проблема, но рекомендуется использовать CKEditor версии 4.14 или новее. Однако риск эксплуатации можно свести к нулю, отключив CKEditor.
Например, один из дефектов в XSS влияет на его процессор HTML. еЧто можно использовать, поместив вредоносный HTML-код в редактор, либо в режиме WYSIWYG, либо в режиме исходного кода.
Другая проблема касается стороннего плагина под названием WebSpellChecker Dialog, который включен в CKEditor 4. По умолчанию. Он может быть использован злоумышленником, заставляя жертву изменить способ работы CKEditor в исходном режиме. Затем злоумышленник может добавить вредоносный код и просмотреть содержимое страницы после того, как жертва вернулась в WYSIWYG.
Greek
Chinese (Simplified)
English
Greek
Russian