Vulnerabilidad en CKEditor 5 (CVE-2022-31175)

CKEditor 5 es un editor de texto enriquecido en JavaScript. Se ha detectado una vulnerabilidad de tipo cross-site scripting que afecta a tres paquetes opcionales de CKEditor 5 en versiones anteriores a 35.0.1. La vulnerabilidad permitía desencadenar un código JavaScript tras cumplir unas condiciones especiales. Los paquetes afectados son "@ckeditor/ckeditor5-markdown-gfm", "@ckeditor/ckeditor5-html-support", and "@ckeditor/ckeditor5-html-embed". Las condiciones específicas son 1) Usar uno de los paquetes afectados. En el caso de "ckeditor5-html-support" and "ckeditor5-html-embed", Adicionalmente, se requería usar una configuración que permitiera un marcado no seguro dentro del editor. 2) Destruir la instancia del editor y 3) Inicializar el editor en un elemento y usar un elemento que no sea "(textarea)" como base. La causa del problema era un mecanismo responsable de la actualización del elemento fuente con el marcado procedente de la canalización de datos de CKEditor 5 después de destruir el editor. Esta vulnerabilidad podría afectar a un pequeño porcentaje de integradores que dependen de la inicialización/destrucción dinámica del editor y que usan las funciones Markdown, General HTML Support o HTML embed. El problema ha sido reconocido y parcheado. La corrección está disponible en versión 35.0.1. No se presentan mitigaciones conocidas para este problema