CVE-2020-27193

CKEditor versão 4.15.0

Uma vulnerabilidade de cross-site scripting (XSS) no plugin Color Dialog para o CKEditor permite que invasores remotos executem scripts web arbitrários após persuadir um usuário a copiar e colar código HTML malicioso em um dos campos de entrada do editor. Esse problema está relacionado à falta de medidas de proteção na estrutura da página web, o que pode ser explorado por um invasor remoto para realizar ataques de cross-site scripting através do envio de código HTML especialmente criado.

Para a versão 4.15.0 do CKEditor, considere desativar o plugin Color Dialog até que um patch esteja disponível para impedir a exploração da vulnerabilidade XSS. Restrinja o acesso aos campos de entrada do editor para minimizar o risco de execução de scripts web arbitrários. Evite permitir que usuários copiem e colem código HTML malicioso nos campos de entrada do editor até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.