Уязвимость затрагивает интегрированный с ядром Drupal плагин CKEditor.
Второй раз за месяц в Drupal обнаружена очередная уязвимость, позволяющая осуществлять широкий спектр атак, включая похищение cookie-файлов, кейлоггинг, фишинг и кражу личности.
Команда Drupal обнаружила XSS-уязвимость в стороннем плагине CKEditor, интегрированном с ядром Drupal и позволяющим администраторам и пользователям создавать интерактивный контент. CKEditor представляет собой популярный WYSIWYG-редактор текстов в формате RTF, используемый на многих сайтах и предустановленный в некоторых web-проектах.
Как сообщается в уведомлении безопасности от разработчиков плагина, уязвимость связана с некорректной валидацией тега «img» плагином Enhanced Image для версии CKEditor 4.5.11 и более поздних. Злоумышленник может проэксплуатировать ее для выполнения произвольного кода HTML или JavaScript в браузере пользователя.
Плагин Enhanced Image впервые появился в версии CKEditor 4.3 и обеспечивает возможность встраивать изображения в контент с помощью редактора.
Уязвимость исправлена в версии CKEditor 4.9.2. Разработчики Drupal исправили ее в Drupal 8.5.2 и Drupal 8.4.7. Проблема не затрагивает CKEditor в версиях Drupal 7.x, поскольку здесь конфигурация плагина предполагает загрузку с CDN-серверов.
Напомним , недавно в Drupal была обнаружена критическая уязвимость Drupalgeddon 2, позволяющая злоумышленникам перехватывать контроль над уязвимыми сайтами.
WYSIWYG (What You See Is What You Get, «что видишь, то и получишь») – свойство прикладных программ или web-интерфейсов, в которых содержание отображается в процессе редактирования и выглядит максимально близко похожим на конечную продукцию (печатный документ, web-страницу презентацию и пр.).
Живой, мертвый или в суперпозиции? Узнайте в нашем канале