CVE-2024-24816

Versões do CKEditor 4 anteriores à 4.24.0-lts

Foi descoberta uma vulnerabilidade de script entre sites (XSS) no CKEditor 4, afetando versões anteriores à 4.24.0-lts que utilizam o recurso preview. Essa vulnerabilidade permite que um invasor execute código JavaScript ao explorar o recurso de visualização mal configurado. Ela afeta todos os usuários que utilizam o CKEditor 4 em versões anteriores à 4.24.0-lts com exemplos afetados utilizados em um ambiente de produção.

Para versões do CKEditor 4 anteriores à 4.24.0-lts, atualize para a versão 4.24.0-lts para resolver o problema. Como solução temporária, considere desativar o recurso preview até que um patch esteja disponível. Restrinja o acesso aos exemplos afetados, como samples/old/**/*.html e plugins/[nome do plugin]/samples/**/*.html, para minimizar o risco de exploração. Evite usar o recurso de visualização mal configurado em ambientes de produção até que o problema seja resolvido.