PT-2021-6455 · Unknown+3 · Ckeditor 4+3
Publicado
2021-07-19
·
Atualizado
2022-03-22
·
CVE-2021-32808
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:N |
Nome do software vulnerável e versões afetadas
CKEditor 4, versões 4.13.0 a 4.16.1
Descrição
Foi descoberta uma vulnerabilidade no plugin Widget da área de transferência quando utilizado em conjunto com o recurso de desfazer no CKEditor 4. Esse problema permite que um usuário abuse da funcionalidade de desfazer usando código HTML malformado do widget, o que pode resultar na execução de código JavaScript. O problema afeta todos os usuários dos plug-ins do CKEditor 4 na versão 4.13.0 e posteriores.
Recomendações
Para as versões 4.13.0 a 4.16.1 do CKEditor 4, atualize para a versão 4.16.2 para resolver o problema.
Como solução temporária, considere desativar o recurso de desfazer ao usar o plug-in Widget da área de transferência até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ckeditor 4
Debian
Linuxmint
Ubuntu