SA-CORE-2022-005

Содержание
Редактировать эту страницу

Проект: Drupal Core
Дата публикации: 16 марта 2022
Риск безопасности: Умеренно критично 13∕25. AC:Basic/A:User/CI:Some/II:Some/E:Theoretical/TD:Default
Уязвимость: Сторонние библиотеки

Описание

Drupal использует библиотеку CKEditor, для которой было выпущено обновление безопасности которое влияет на Drupal.

Сайт подвержен уязвимостям если на нём используется CKEditor для редактирования содержимого. Зломышленник, с возможностью создавать или редактировать содержимое (даже без прямого доступа к CKEditor), может использовать одну или несколько уязвимостей межсайтового скриптинга (XSS), направленных на пользователей с доступом к редактору CKEditor, включая пользователей с административными правами.

Более подробная информация:

  • CVE-2022-24728: Уязвимость в HTML обработчике, позволяющая вызывать JavaScript код.
  • CVE-2022-24729: Регулярное выражение в плагине dialog позволяет делать DoS атаки.

Drupal Steward не покрывает данную проблему.

Решение

Обновиться до актуальных версий:

  • Если используете Drupal 9.3, обновитесь до Drupal 9.3.8.
  • Если используете Drupal 9.2, обновитесь до Drupal 9.2.15.

Ссылки

🌱 Помогите нам сделать документацию лучше!

Вся документация Druki с отрытым исходным кодом. Нашли ошибку или неточность? Создайте pull request.

Редактировать текущий документ Обсудить улучшение

Или узнайте как контрибутить.

🤔 По-прежнему нужна помощь?

Не нашли ответа на свой вопрос? Попросите помощи у сообщества!

Задайте вопрос на GitHub Смотрите другие ресурсы сообщества
Участники
Содержание