CVE-2024-24815

Versões do CKEditor4 anteriores à 4.24.0-lts

Foi descoberta uma vulnerabilidade de script entre sites (XSS) no módulo central de análise de HTML do CKEditor4. Isso pode afetar todas as instâncias do editor que tenham o modo de edição de página inteira ativado ou que tenham elementos CDATA habilitados na configuração de Filtragem Avançada de Conteúdo, cujos padrões são os elementos script e style. A vulnerabilidade permite que invasores injetem conteúdo HTML malformado, contornando o mecanismo de Filtragem Avançada de Conteúdo, o que pode resultar na execução de código JavaScript. Um invasor poderia se aproveitar da detecção defeituosa de conteúdo CDATA e usá-la para preparar um ataque intencional ao editor.

Para versões anteriores à 4.24.0-lts, atualize para a versão 4.24.0-lts para resolver o problema. Como solução temporária, considere desativar o modo de edição de página inteira ou restringir o uso de elementos CDATA na configuração de Filtragem Avançada de Conteúdo para minimizar o risco de exploração. Evite usar os elementos script e style na configuração afetada até que o problema seja resolvido.