Проект: Drupal Core
Дата публикации: 18 марта 2020
Риск безопасности: Умеренно критический. 13/25 AC:Complex A:User CI:Some II:Some E:Proof TD:Default
Уязвимость: Сторонние библиотеки

Описание

Drupal использует стороннюю библиотеку CKEditor, для которой вышло обновление безопасности, которая может затронуть некоторые конфигурации Drupal.

Использование уязвимости возможно при условии что Drupal настроен на использование редактора CKEditor для обычных пользователей. Если несколько людей имеют возможность пользоваться редактором, то появляется возможность производить XSS атаки против других пользователей, включая администратора.

Drupal увеличивает версию зависимости до 4.14 где эта проблема решена.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.4.
  • Если используете Drupal 8.7.x, обновитесь до Drupal 8.7.12.

Альтернативно, вы можете защитить сайт отключив модуль CKEditor.

Ссылки

Помощь и обратная связь

Если вы обнаружили ошибку или хотите внести улучшения, и желаете внести изменения самостоятельно при помощи Pull Request
Если вы желаете предложить улучшение для этого документа

Обратиться за помощью

Если вы не нашли то что искали, воспользуйтесь поиском.

Если вам нужна помощь с чем-то конкретным, обратитесь к сообществу.