CVE-2024-43369

Versões do tipo de campo Ibexa RichText anteriores à 4.6.10

O validador do tipo de campo RichText bloqueia javascript: e vbscript: em links para prevenir XSS, mas isso pode ser contornado usando letras maiúsculas, deixando outras opções em aberto. São necessárias permissões de edição de conteúdo para RichText para explorar essa vulnerabilidade, o que normalmente significa a função de Editor ou superior. A correção implementa uma lista de permissões, que permite apenas protocolos de link aprovados, e a nova verificação não diferencia maiúsculas de minúsculas.

Para versões anteriores à 4.6.10, atualize para a versão 4.6.10 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao tipo de campo RichText até que um patch seja aplicado. Evite usar os protocolos javascript: e vbscript: em links para minimizar o risco de exploração.