SA-CORE-2020-001

Содержание
Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 18 марта 2020
Риск безопасности: Умеренно критический. 13/25 AC:Complex A:User CI:Some II:Some E:Proof TD:Default
Уязвимость: Сторонние библиотеки

Описание

Drupal использует стороннюю библиотеку CKEditor, для которой вышло обновление безопасности, которая может затронуть некоторые конфигурации Drupal.

Использование уязвимости возможно при условии что Drupal настроен на использование редактора CKEditor для обычных пользователей. Если несколько людей имеют возможность пользоваться редактором, то появляется возможность производить XSS атаки против других пользователей, включая администратора.

Drupal увеличивает версию зависимости до 4.14 где эта проблема решена.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.8.x, обновитесь до Drupal 8.8.4.
  • Если используете Drupal 8.7.x, обновитесь до Drupal 8.7.12.

Альтернативно, вы можете защитить сайт отключив модуль CKEditor.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества
Участники
Содержание