Cross-Site Scripting en CKEditor de CKSource

Fecha de publicación
16/11/2023
Importancia
3 - Media
Recursos Afectados
  • CKEditor, versiones 4.15.1 y anteriores.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a CKEditor, un editor de texto de código abierto que proporciona funciones de procesador de texto en páginas web, y que ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2023-4771: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución

El problema se encontró en una de las muestras archivadas que nunca deberían ser utilizadas por los integradores en código de producción. No hay información sobre posibles vulnerabilidades de seguridad en el propio CKEditor 4.

Detalle
  • CVE-2023-4771: se ha encontrado una vulnerabilidad de Cross-Site scripting en CKSource CKEditor que afecta a las versiones 4.15.1 y anteriores. Un atacante podría enviar un código javascript malicioso a través del archivo /ckeditor/samples/old/ajax.html y recuperar la información de un usuario autorizado.
Listado de referencias
Etiquetas

botón arriba