В Drupal пропатчена не слишком опасная XSS

В наличии бреши повинен один из плагинов JavaScript-библиотеки CKEditor сторонней разработки.

В минувшую среду команда Drupal выпустила обновления с патчем для XSS-уязвимости, крывшейся в модуле CKEditor ядра CMS-системы.

Данная брешь, оцененная как умеренно опасная, актуальна лишь для Drupal 8; пользователям рекомендуется установить сборку  8.5.2 или 8.4.7.

Согласно блог-записи разработчика JavaScript-библиотеки CKEditor, шанс для проведения XSS-атаки появляется при использовании плагина image2 — усовершенствованной версии плагина для работы с изображениями в этом редакторе. Данный плагин не входит в состав CKEditor типовой комплектации, поэтому риску подвержены лишь кастомные варианты редактора с активированным image2.

XSS обычно срабатывает, когда пользователь, совершив переход по услужливо представленной ссылке, открывает в браузере страницу с внедренным вредоносным кодом. Подобные атаки грозят захватом контроля над системой жертвы.

Обнаруженная независимым исследователем XSSприсутствует в CKEditor сборок с 4.5.11 по 4.9.1. Устраняет уязвимость корректирующий выпуск CKEditor 4.9.2.

Соответствующие исправления внесены и в ядро Drupal 8. В бюллетене на сайте проекта отмечено, что Drupal 7 эта уязвимость не затрагивает, если используется модуль CKEditor 7.x-1.18, привязанный к CDN-сети. В том случае, если редактор был установлен в Drupal 7 иным способом — вместе с модулем WYSIWYG или локально, — его следует обновить, посетив страницу загрузок CKEditor.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля