Unknown · Backdrop Cms · CVE-2025-25062
Nome do Software Vulnerável e Versões Afetadas:
Versões do Backdrop CMS 1.28.x até 1.28.4
Versões do Backdrop CMS 1.29.x até 1.29.2
Descrição:
Uma vulnerabilidade de cross-site scripting (XSS) foi descoberta no Backdrop CMS ao utilizar o editor de texto rich text CKEditor 5. O problema surge porque o sistema não isola suficientemente o conteúdo de texto longo, permitindo que um potencial atacante crie HTML e JavaScript especializados que podem ser executados quando um administrador tenta editar um conteúdo. Este problema é mitigado pelo fato de que um atacante deve ter a capacidade de criar conteúdo de texto longo e um administrador deve editar o conteúdo que contém o conteúdo malicioso.
Recomendações:
Para as versões do Backdrop CMS 1.28.x até 1.28.4, atualize para a versão 1.28.5 ou posterior.
Para as versões do Backdrop CMS 1.29.x até 1.29.2, atualize para a versão 1.29.3 ou posterior.
Como solução temporária, considere desativar o módulo CKEditor 5 até que uma correção esteja disponível.
Restrinja o acesso aos formulários de nó ou comentário para minimizar o risco de exploração.