Проект: Drupal Core
Дата публикации: 12 августа 2021
Риск безопасности: Умеренно критично. Critical 13∕25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Сторонние библиотеки.

Описание

Drupal ядро использует библиотеку CKEditor. Для данной библиотеки вышло обновление безопасности которое также влияет на Drupal.

Уязвимости возможны, если Drupal настроен на использование библиотеки CKEditor. Злоумышленник, который может создавать или редактировать контент (даже без доступа к CKEditor), может использовать одну или несколько уязвимостей межсайтового скриптинга (XSS), направленных на пользователей с доступом к CKEditor, включая администраторов сайта с привилегированным доступом.

Для детальной информации смотрите официальный анонс CKEditor.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.18.
  • Если используете Drupal 9.1.x, обновитесь до Drupal 9.1.12.
  • Если используете Drupal 9.2.x, обновитесь до Drupal 9.2.4.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества