Drupal-plugin ramt af XSS-sårbarhed

En cross-site-scripting sårbarhed relateret til CMS'et Dupal er dukket op.

En kritisk sårbarhed relateret til en plugin i Content Management Systemet Drupal er dukket op. Der er udsendt en patch.

Version2 er blevet opmærksom på sagen via The Hacker News.

Sårbarheden vedrører tredjeparts-plugin'et CKEditor, som er integreret i Drupal-kernen.

CKEditor er ifølge The Hacker News en javascript-baseret WYSIWYG-tekstbehandler, som bliver brugt af mange hjemmesider.

Det er en plugin til CKEditor kaldet Enhanced Image Editor, der udløser problemet. Utiltrækkelig validering af et imagetag i Enhanced Image Editor har muliggjort et cross-site-scripting angreb via tag'et.

Ifølge en skrivelsen fra Documentation Manager ved CKEditor Anna Tormanek, så er Enhanced Image Editor ikke inkluderet i standard versionen af CKEditor.

Sårbarheden er fikset med version 4.9.2 af CKEditor. Denne version blev frigivet 17. april.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017