Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В наличии бреши повинен один из плагинов JavaScript-библиотеки CKEditor сторонней разработки.
В минувшую среду команда Drupal выпустила обновления с патчем для XSS-уязвимости, крывшейся в модуле CKEditor ядра CMS-системы.
Данная брешь, оцененная как умеренно опасная, актуальна лишь для Drupal 8; пользователям рекомендуется установить сборку 8.5.2 или 8.4.7.
Согласно блог-записи разработчика JavaScript-библиотеки CKEditor, шанс для проведения XSS-атаки появляется при использовании плагина image2 — усовершенствованной версии плагина для работы с изображениями в этом редакторе. Данный плагин не входит в состав CKEditor типовой комплектации, поэтому риску подвержены лишь кастомные варианты редактора с активированным image2.
XSS обычно срабатывает, когда пользователь, совершив переход по услужливо представленной ссылке, открывает в браузере страницу с внедренным вредоносным кодом. Подобные атаки грозят захватом контроля над системой жертвы.
Обнаруженная независимым исследователем XSSприсутствует в CKEditor сборок с 4.5.11 по 4.9.1. Устраняет уязвимость корректирующий выпуск CKEditor 4.9.2.
Соответствующие исправления внесены и в ядро Drupal 8. В бюллетене на сайте проекта отмечено, что Drupal 7 эта уязвимость не затрагивает, если используется модуль CKEditor 7.x-1.18, привязанный к CDN-сети. В том случае, если редактор был установлен в Drupal 7 иным способом — вместе с модулем WYSIWYG или локально, — его следует обновить, посетив страницу загрузок CKEditor.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |