PT-2024-40039 · Drupal+1 · Drupal+1
Publicado
2024-05-15
·
Atualizado
2024-05-15
CVSS v3.1
4.2
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Drupal (versões afetadas não especificadas)
Descrição
O problema está relacionado ao uso da biblioteca de terceiros CKEditor no Drupal, que possui uma melhoria de segurança que protege contra vulnerabilidades de Cross Site Scripting (XSS). Se o Drupal estiver configurado para usar o CKEditor WYSIWYG, um invasor capaz de criar ou editar conteúdo poderá explorar essa vulnerabilidade para atacar usuários com acesso ao CKEditor WYSIWYG, incluindo administradores do site com acesso privilegiado.
Recomendações
Atualize o CKEditor para a versão 4.14 para mitigar as vulnerabilidades.
Como solução alternativa temporária, considere restringir o acesso ao CKEditor WYSIWYG para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Ckeditor
Drupal