Проект: Drupal Core
Дата публикации: 17 ноября 2021
Риск безопасности: Умеренно критично. Critical 13∕25 AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Обход доступа

Описание

Drupal предоставляет интеграцию с библиотекой CKEditor для предоставления WYSIWYG-редактирования. Для библиотеки вышло обновление безопасности, которое влияет на Drupal.

Уязвимость доступна, если Drupal настроен на использование CKEditor в качестве редактора. Злоумышленник, который имеет права на создание и редактирование содержимого (даже без доступа к CKEditor), может использовать множественные атаки межсайтового скриптинга (XSS) для атаки на пользователей, которые имеют доступ к редактору, включая администраторов.

Чтобы получить больше информации о проблеме, изучите предупреждения по безопасности в от CKEditor:

  • CVE-2021-41164 Уязвимость в Advanced Content Filter (ACF) позволяет выполнить JavaScript код при помощи специально подготовленного HTML.
  • CVE-2021-41165 HTML комментарии позволяют выполнять JavaScript код.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 9.2.x, обновитесь до Drupal 9.2.9.
  • Если используете Drupal 9.1.x, обновитесь до Drupal 9.1.14.
  • Если используете Drupal 8.9.x, обновитесь до Drupal 8.9.20.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества