CVE-2024-43407

Versões do CKEditor4 anteriores à 4.25.0-lts

Foi descoberta uma vulnerabilidade potencial no plugin GeSHi do CKEditor 4 para trechos de código, permitindo um ataque XSS refletido ao explorar uma falha na biblioteca de realce de sintaxe do GeSHi. A biblioteca GeSHi, incluída como dependência de fornecedor nos arquivos-fonte do CKEditor 4, não é mais mantida ativamente, e seu uso contínuo representa riscos potenciais à segurança. Um invasor poderia criar um script malicioso que seria executado ao enviar uma solicitação à biblioteca GeSHi hospedada em um servidor web PHP.

Para mitigar os riscos, atualize para a versão 4.25.0-lts ou posterior, que remove a biblioteca GeSHi como dependência. Para integradores que ainda desejam usar o realçador de sintaxe GeSHi, adicione a biblioteca manualmente, mas esteja ciente das possíveis vulnerabilidades de segurança associadas ao seu uso. Como solução temporária, considere desativar o realçador de sintaxe GeSHi até que um patch esteja disponível. Restrinja o acesso ao plugin GeSHi do Code Snippet vulnerável para minimizar o risco de exploração.