Vulnerabilidad en CKEditor4 (CVE-2024-24815)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
07/02/2024
Última modificación:
06/03/2024
Descripción
CKEditor4 es un editor HTML de código abierto de lo que ves es lo que obtienes. Se ha descubierto una vulnerabilidad de cross-site scripting en el módulo principal de análisis HTML en versiones de CKEditor4 anteriores a la 4.24.0-lts. Puede afectar a todas las instancias del editor que habilitaron el modo de edición de página completa o habilitaron elementos CDATA en la configuración de filtrado de contenido avanzado (los elementos predeterminados son `script` y `style`). La vulnerabilidad permite a los atacantes inyectar contenido HTML con formato incorrecto sin pasar por el mecanismo de filtrado de contenido avanzado, lo que podría resultar en la ejecución de código JavaScript. Un atacante podría abusar de la detección de contenido CDATA defectuosa y utilizarla para preparar un ataque intencional al editor. Hay una solución disponible en la versión 4.24.0-lts.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ckeditor:ckeditor:*:*:*:*:lts:*:*:* | 4.0 (incluyendo) | 4.24.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://ckeditor.com/docs/ckeditor4/latest/api/CKEDITOR_dtd.html#property-S-cdata
- https://ckeditor.com/docs/ckeditor4/latest/features/fullpage.html
- https://ckeditor.com/docs/ckeditor4/latest/guide/dev_advanced_content_filter.html
- https://github.com/ckeditor/ckeditor4/commit/8ed1a3c93d0ae5f49f4ecff5738ab8a2972194cb
- https://github.com/ckeditor/ckeditor4/security/advisories/GHSA-fq6h-4g8v-qqvm
- https://www.drupal.org/sa-contrib-2024-009