CVE-2024-45613

Nome do software vulnerável e versões afetadas:

CKEditor 5, versões 40.0.0 a 43.1.1

Descrição:

Existe uma vulnerabilidade de Cross-Site Scripting (XSS) no pacote de área de transferência do CKEditor 5, que pode ser acionada por uma ação específica do usuário, levando à execução não autorizada de código JavaScript caso um invasor consiga inserir conteúdo malicioso no editor. Essa vulnerabilidade afeta instalações nas quais o plugin Block Toolbar está habilitado e o General HTML Support (com uma configuração que permite marcação insegura) ou o plugin HTML Embed também estão habilitados.

Recomendações:

Para as versões 40.0.0 a 43.1.1 do CKEditor 5, atualize para a versão 43.1.1 ou superior para resolver a vulnerabilidade.

Como solução temporária, considere desativar o plug-in Block Toolbar até que um patch esteja disponível.