PT-2021-6878 · Unknown · Ckeditor 4
Publicado
2021-01-26
·
Atualizado
2022-05-24
·
CVE-2021-26271
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do CKEditor 4 anteriores à 4.16
Descrição
A vulnerabilidade está relacionada à inclusão de recursos provenientes de uma área controlada não confiável na guia “Avançado” do plugin “Dialogs” do editor WYSIWYG CKEditor. A exploração desse problema poderia permitir que um invasor remoto falsificasse o conteúdo da barra de endereços. Era possível executar um ataque do tipo ReDoS dentro do CKEditor 4, persuadindo uma vítima a colar texto malicioso no campo
Styles de diálogos específicos no plug-in Advanced Tab for Dialogs.Recomendações
Para versões do CKEditor 4 anteriores à 4.16, atualize para a versão 4.16 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao campo
Styles no plugin Advanced Tab for Dialogs para minimizar o risco de exploração.Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ckeditor 4