CVE-2025-25299

Nome do Software Vulnerável e Versões Afetadas Versões do CKEditor 5 anteriores à 44.2.1

Descrição Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no pacote de colaboração em tempo real do CKEditor 5, afetando marcadores de usuário que representam as posições dos usuários dentro do documento. Isso pode levar à execução não autorizada de código JavaScript com uma configuração muito específica de editor e endpoint de token. A vulnerabilidade afeta apenas instalações com a edição colaborativa em tempo real ativada.

Recomendações Para versões anteriores à 44.2.1, atualize para a versão 44.2.1 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de edição colaborativa em tempo real até que a atualização seja aplicada. Restrinja o acesso aos marcadores de usuário vulneráveis para minimizar o risco de exploração. Evite usar configurações específicas de endpoint que possam desencadear a vulnerabilidade até que o problema seja resolvido.