Vulnerabilidad en CKEditor 5 (CVE-2024-45613)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

25/09/2024

Última modificación:

01/10/2024

Descripción

CKEditor 5 es un editor de texto enriquecido de JavaScript. A partir de la versión 40.0.0 y antes de la versión 43.1.1, existe una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el paquete de portapapeles de CKEditor 5. Esta vulnerabilidad podría ser activada por una acción específica del usuario, lo que llevaría a la ejecución no autorizada de código JavaScript, si el atacante lograra insertar un contenido malicioso en el editor, lo que podría suceder con una configuración de editor muy específica. Esta vulnerabilidad solo afecta a las instalaciones donde está habilitado el complemento Block Toolbar y también está habilitado General HTML Support (con una configuración que permite marcado no seguro) o el complemento HTML Embed. Hay una solución para el problema disponible en la versión 43.1.1. Como workaround, se puede deshabilitar el complemento Block Toolbar.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno