Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
You must be registered for see images attach
Второй раз за месяц в Drupal обнаружена очередная уязвимость, позволяющая осуществлять широкий спектр атак, включая похищение cookie-файлов, кейлоггинг, фишинги кражу личности.
Команда Drupal обнаружила XSS-уязвимость в стороннем плагине CKEditor, интегрированном с ядром Drupal и позволяющим администраторам и пользователям создавать интерактивный контент. CKEditor представляет собой популярный WYSIWYG-редактор текстов в формате RTF, используемый на многих сайтах и предустановленный в некоторых web-проектах.
Каксообщаетсяв уведомлении безопасности от разработчиков плагина, уязвимость связана с некорректной валидацией тега «img» плагином Enhanced Image для версии CKEditor 4.5.11 и более поздних. Злоумышленник может проэксплуатировать ее для выполнения произвольного кода HTML или JavaScript в браузере пользователя.
Плагин Enhanced Image впервые появился в версии CKEditor 4.3 и обеспечивает возможность встраивать изображения в контент с помощью редактора.
Уязвимость исправлена в версии CKEditor 4.9.2. Разработчики Drupal исправили ее в Drupal 8.5.2 и Drupal 8.4.7. Проблема не затрагивает CKEditor в версиях Drupal 7.x, поскольку здесь конфигурация плагина предполагает загрузку с CDN-серверов.
Напомним, недавно в Drupal была обнаружена критическая уязвимость Drupalgeddon 2, позволяющая злоумышленникамперехватыватьконтроль над уязвимыми сайтами.
WYSIWYG (What You See Is What You Get, «что видишь, то и получишь») – свойство прикладных программ или web-интерфейсов, в которых содержание отображается в процессе редактирования и выглядит максимально близко похожим на конечную продукцию (печатный документ, web-страницу презентацию и пр.).