Mgsyp

Nome do software vulnerável e versões afetadas: CKEditor 5, versões 40.0.0 a 43.1.1 Descrição: Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no pacote de área de transferência do CKEditor 5, que pode ser acionada por uma ação específica do usuário, levando à execução não autorizada de código JavaScript caso um invasor consiga inserir conteúdo malicioso no editor. Essa vulnerabilidade afeta instalações nas quais o plugin Block Toolbar está habilitado e o General HTML Support (com uma configuração que permite marcação insegura) ou o plugin HTML Embed também estão habilitados. Recomendações: Para as versões 40.0.0 a 43.1.1 do CKEditor 5, atualize para a versão 43.1.1 ou superior para resolver a vulnerabilidade. Como solução temporária, considere desativar o plug-in Block Toolbar até que um patch esteja disponível.