CVE-2022-31175

Versões do CKEditor 5 anteriores à 35.0.1

Foi descoberta uma vulnerabilidade de cross-site scripting no CKEditor 5, afetando três pacotes opcionais: @ckeditor/ckeditor5-markdown-gfm, @ckeditor/ckeditor5-html-support e @ckeditor/ckeditor5-html-embed. A vulnerabilidade permite a execução de código JavaScript após o cumprimento de condições específicas, incluindo o uso de um dos pacotes afetados, a destruição da instância do editor e a inicialização do editor em um elemento diferente de <textarea>. A causa principal é um mecanismo responsável por atualizar o elemento de origem com marcação do pipeline de dados do CKEditor 5 após a destruição do editor. Esse problema pode afetar uma pequena porcentagem de integradores que dependem da inicialização/destruição dinâmica do editor e usam recursos de Markdown, suporte geral a HTML ou incorporação de HTML.

Para versões anteriores à 35.0.1, atualize para a versão 35.0.1 para resolver o problema.

Como solução alternativa temporária, considere evitar o uso dos pacotes afetados @ckeditor/ckeditor5-markdown-gfm, @ckeditor/ckeditor5-html-support e @ckeditor/ckeditor5-html-embed até que a atualização seja aplicada.

Restrinja o acesso a configurações que permitam marcação insegura dentro do editor para os pacotes ckeditor5-html-support e ckeditor5-html-embed, a fim de minimizar o risco de exploração.

Evite inicializar o editor em elementos que não sejam <textarea> e evite destruir a instância do editor, a menos que seja necessário.