Drupal 更新开源编辑器 CKEditor,修复两个 XSS 漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
本周三,Drupal 内容管理系统开发人员宣布称更新了版本8.8.x和8.7.x,解决了影响 CKEditor 库的多个漏洞。
CKEditor 是一款流行的开源 WYSIWYG 编辑器,它配置高且功能达数百个。Drupal 使用 CKEditor 并将其更新至4.14版本,修复了影响 CKEditor 早期版本的两个跨站点脚本 (XSS) 漏洞。
Drupal 在安全公告中指出,“如果在网站上配置 Drupal,使用户使用 WYSIWYG CKEditor,那么就可能存在漏洞。当多人同时编辑内容时,该漏洞可被用于对他人(包括拥有更多访问权限的网站管理员)执行 XSS 攻击。”
开发人员建议用户将 Drupal 更新至版本 8.8.4或8.7.12,或者也可通过禁用 CKEditor 模块的方式阻止攻击。
开发人员表示,虽然 Drupal 7 并不受影响,但使用该版本的网站管理员应该确保CKEditor已更新至4.14版本或更高版本。
虽然 Drupal 对这些漏洞的说明可能表明漏洞影响严重,但评分为“中等严重”,风险评分为13/25。
两个XSS漏洞
CKEditor4.14 发布说明表示,利用这些缺陷牵涉“不可能的”或“高度不可能的”场景。例如,其中一个弱点影响 HTML 数据处理器。为利用该弱点,攻击者必须说服目标用户以 WYSIWYG 模式或源模式将恶意 HTML 代码粘贴到该编辑器。
第二个缺陷影响名为 “WebSpellChecker Dialog” 的第三方插件。要发动 XSS 攻击,黑客需要说服受害者将 CKEditor 切换为源模式、粘贴恶意代码、切换回 WYSIWYG 模式,并预览可使用 WebSpelChecker Dialog 插件文件的页面内容。
这是 Drupal 开发人员今年发布的首个补丁,他们在2019年发布了7轮安全更新。虽然 Drupal 并未像WordPress 那样成为“众矢之的”,但之前发现的某些漏洞也被用于劫持网站。
推荐阅读
Linux 基金会发布《开源软件供应链安全报告》
刚刚GitHub 收购 npm,旨在提升开源软件供应链安全
原文链接
https://www.securityweek.com/drupal-updates-ckeditor-patch-xss-vulnerabilities
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
点个“在看”,一起玩耍
Drupal 更新开源编辑器 CKEditor,修复两个 XSS 漏洞相关推荐
- 速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 奇安信代码安全实验室帮助微软修复两个 “重要” 漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为微软发现两个"重要"级别的漏洞(CVE-2021-1646 和CVE-2021-1709),第一时间向微软报告并协 ...
- 奇安信代码安全实验室帮助微软修复两个“重要”漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员为微软发现两个"重要"级别的漏洞(CVE-2020-16920和CVE-2020-16921),第一时间向微软报告并 ...
- 微软紧急更新 Windows 8.1 和 Server 2012 R2,修复两个严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软为 Windows 8.1.WindowsRT 8.1 和 Windows Server 2012 R2 系统发布紧急带外软件更新 ...
- 奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞,获官方致谢
聚焦源代码安全,网罗国内外最新资讯! 奇安信代码安全实验室研究员帮助 Red Hat在oVirt-engine 软件中发现了两个漏洞(CVE-2020-14333和CVE-2020-10775),并第 ...
- SolarWinds 平台修复两个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 SolarWinds 平台修复了两个高危漏洞,它们可分别导致命令执行和权限提升后果. 其中较为严重的是CVE-2022-36963(CVSS评分 ...
- NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- 开源内容管理系统Drupal 修复信息泄露和 XSS 漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周,开源的内容管理系统 Drupal 修复了多个信息泄露和跨站点脚本 (XSS) 漏洞,其中包括一个"严重"级别 ...
- Drupal 修复远程代码执行漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,Drupal 内容管理系统 (CMS) 发布更新,修复了和不正确清理所上传文件名称有关的一个远程代码执行漏洞 (CVE-2020 ...
最新文章
- 1.5 字符串大小写转换(toLowerCase()和toUpperCase())
- 数据库面试题目经典大全
- adonis.js mysql_Adonis.js——数据库基本操作
- 简化Java内存分析
- spring_01概念及案例
- 转:SQL:外连接on条件与where条件的区别
- SQL常用用法相关笔记
- BACKPROPAGATION 手工求解
- vs2010 添加nupkg文件
- 网上购物系统的设计与实现
- 【考研数学】张宇:十月真题做题建议
- 模电——基本运算放大器原理
- shell中sudo和su命令
- php期末作业作业,作业作业作业作业作业作业
- Rockchip 红外遥控开发指南
- 搜索的实例——水管工游戏
- 360浏览器默认极速
- 西门子plc博图与优傲UR机器人进行Profinet通讯,s7-1200/1500 与UR机器人通讯,实际应用案例使用中
- 【Linux】进程状态的理解
- 2021年中式烹调师(高级)考试内容及中式烹调师(高级)复审模拟考试