Drupal-plugin ramt af XSS-sårbarhed

En cross-site-scripting sårbarhed relateret til CMS'et Dupal er dukket op.

En kritisk sårbarhed relateret til en plugin i Content Management Systemet Drupal er dukket op. Der er udsendt en patch.

Version2 er blevet opmærksom på sagen via The Hacker News.

Sårbarheden vedrører tredjeparts-plugin'et CKEditor, som er integreret i Drupal-kernen.

CKEditor er ifølge The Hacker News en javascript-baseret WYSIWYG-tekstbehandler, som bliver brugt af mange hjemmesider.

Det er en plugin til CKEditor kaldet Enhanced Image Editor, der udløser problemet. Utiltrækkelig validering af et imagetag i Enhanced Image Editor har muliggjort et cross-site-scripting angreb via tag'et.

Ifølge en skrivelsen fra Documentation Manager ved CKEditor Anna Tormanek, så er Enhanced Image Editor ikke inkluderet i standard versionen af CKEditor.

Sårbarheden er fikset med version 4.9.2 af CKEditor. Denne version blev frigivet 17. april.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder