Mgsy

#50416de 53,633
4.6CVSS total
Vulnerabilidades · 2
Baixa
2
PT-2025-35839
2.3
2025-09-03
Ckeditor · Ckeditor 5 · CVE-2025-58064
**Nome do Software Vulnerável e Versões Afetadas** versões do ckeditor5 44.2.0 até 45.2.1 versões do ckeditor5 46.0.0 até 46.0.2 versões do ckeditor5-clipboard 44.2.0 até 45.2.1 versões do ckeditor5-clipboard 46.0.0 até 46.0.2 **Descrição** O CKEditor 5 é um editor de texto rico (rich-text) moderno em JavaScript com uma arquitetura MVC. O software contém uma vulnerabilidade de Cross-Site Scripting (XSS). A exploração poderia levar à execução não autorizada de código JavaScript se um atacante inserir conteúdo malicioso no editor, ocorrendo potencialmente com uma configuração específica do editor. Este problema afeta instalações nas quais o plugin HTML embed está habilitado, ou um plugin personalizado introduz um elemento editável onde o view RawElement está habilitado. **Recomendações** Atualize para a versão 45.2.2 ou posterior do ckeditor5. Atualize para a versão 45.2.2 ou posterior do ckeditor5-clipboard. Atualize para a versão 46.0.3 ou posterior do ckeditor5. Atualize para a versão 46.0.3 ou posterior do ckeditor5-clipboard.
PT-2025-7555
2.3
2025-02-20
Unknown · Ckeditor 5 · CVE-2025-25299
**Nome do Software Vulnerável e Versões Afetadas** Versões do CKEditor 5 anteriores à 44.2.1 **Descrição** Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no pacote de colaboração em tempo real do CKEditor 5, afetando marcadores de usuário que representam as posições dos usuários dentro do documento. Isso pode levar à execução não autorizada de código JavaScript com uma configuração muito específica de editor e endpoint de token. A vulnerabilidade afeta apenas instalações com a edição colaborativa em tempo real ativada. **Recomendações** Para versões anteriores à 44.2.1, atualize para a versão 44.2.1 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de edição colaborativa em tempo real até que a atualização seja aplicada. Restrinja o acesso aos marcadores de usuário vulneráveis para minimizar o risco de exploração. Evite usar configurações específicas de endpoint que possam desencadear a vulnerabilidade até que o problema seja resolvido.