Michal Frýba

**Nome do software vulnerável e versões afetadas** Versões do CKEditor4 anteriores à 4.24.0-lts **Descrição** Foi descoberta uma vulnerabilidade de script entre sites (XSS) no módulo central de análise de HTML do CKEditor4. Isso pode afetar todas as instâncias do editor que tenham o modo de edição de página inteira ativado ou que tenham elementos CDATA habilitados na configuração de Filtragem Avançada de Conteúdo, cujos padrões são os elementos `script` e `style`. A vulnerabilidade permite que invasores injetem conteúdo HTML malformado, contornando o mecanismo de Filtragem Avançada de Conteúdo, o que pode resultar na execução de código JavaScript. Um invasor poderia se aproveitar da detecção defeituosa de conteúdo CDATA e usá-la para preparar um ataque intencional ao editor. **Recomendações** Para versões anteriores à 4.24.0-lts, atualize para a versão 4.24.0-lts para resolver o problema. Como solução temporária, considere desativar o modo de edição de página inteira ou restringir o uso de elementos CDATA na configuração de Filtragem Avançada de Conteúdo para minimizar o risco de exploração. Evite usar os elementos `script` e `style` na configuração afetada até que o problema seja resolvido.