Vulnerabilidad en CKEditor4 (CVE-2024-43407)

CKEditor4 es un editor HTML de código abierto de lo que ves es lo que obtienes. Se ha descubierto una vulnerabilidad potencial en el complemento GeSHi del fragmento de código de CKEditor 4. La vulnerabilidad permitió un ataque XSS reflejado al explotar una falla en la librería de resaltado de sintaxis GeSHi alojada por la víctima. La librería GeSHi se incluyó como dependencia del proveedor en los archivos fuente de CKEditor 4. En un escenario específico, un atacante podría crear un script malicioso que podría ejecutarse enviando una solicitud a la librería GeSHi alojada en un servidor web PHP. La librería GeSHi ya no se mantiene activamente. Debido a la falta de soporte y actualizaciones continuas, se han identificado posibles vulnerabilidades de seguridad con su uso continuo. Para mitigar estos riesgos y mejorar la seguridad general de CKEditor 4, hemos decidido eliminar por completo la librería GeSHi como dependencia. Este cambio tiene como objetivo mantener un entorno seguro y reducir el riesgo de incidentes de seguridad relacionados con software desactualizado o sin soporte. La solución estará disponible en la versión 4.25.0-lts.