В Drupal обнаружена очередная уязвимость

Blue Sunset

Профессионал
Ветеран пробива
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐⭐⭐
ЗАБАНЕН
Private Club
Регистрация
27/11/16
Сообщения
4.409
Репутация
19.455
Реакции
22.575
RUB
0
Сделок через гаранта
92
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Уязвимость затрагивает интегрированный с ядром Drupal плагин CKEditor.

Второй раз за месяц в Drupal обнаружена очередная уязвимость, позволяющая осуществлять широкий спектр атак, включая похищение cookie-файлов, кейлоггинг, фишинг и кражу личности.

Команда Drupal обнаружила XSS-уязвимость в стороннем плагине CKEditor, интегрированном с ядром Drupal и позволяющим администраторам и пользователям создавать интерактивный контент. CKEditor представляет собой популярный WYSIWYG-редактор текстов в формате RTF, используемый на многих сайтах и предустановленный в некоторых web-проектах.

Как сообщается в уведомлении безопасности от разработчиков плагина, уязвимость связана с некорректной валидацией тега «img» плагином Enhanced Image для версии CKEditor 4.5.11 и более поздних. Злоумышленник может проэксплуатировать ее для выполнения произвольного кода HTML или JavaScript в браузере пользователя.

Плагин Enhanced Image впервые появился в версии CKEditor 4.3 и обеспечивает возможность встраивать изображения в контент с помощью редактора.

Уязвимость исправлена в версии CKEditor 4.9.2. Разработчики Drupal исправили ее в Drupal 8.5.2 и Drupal 8.4.7. Проблема не затрагивает CKEditor в версиях Drupal 7.x, поскольку здесь конфигурация плагина предполагает загрузку с CDN-серверов.

Напомним , недавно в Drupal была обнаружена критическая уязвимость Drupalgeddon 2, позволяющая злоумышленникам перехватывать контроль над уязвимыми сайтами.

WYSIWYG (What You See Is What You Get, «что видишь, то и получишь») – свойство прикладных программ или web-интерфейсов, в которых содержание отображается в процессе редактирования и выглядит максимально близко похожим на конечную продукцию (печатный документ, web-страницу презентацию и пр.).
 
Сверху Снизу