Κυριακή, 29 Μαρτίου, 15:16
Αρχική inet CKEditor: Κυκλοφόρησαν ενημερώσεις για τις εκδόσεις 8.8.x και 8.7.x

CKEditor: Κυκλοφόρησαν ενημερώσεις για τις εκδόσεις 8.8.x και 8.7.x

CKEditor: κυκλοφόρησαν ενημερώσεις για της εκδόσεις 8.8.x και 8.7.x

Η ομάδα ανάπτυξης του Drupal κυκλοφόρησε ενημερώσεις ασφαλείας για τις εκδόσεις 8.8.x και 8.7.x οι οποίες αντιμετωπίζουν δύο XSS ευπάθειες που επηρεάζουν το CKEditor, τον διάδοχο του FCKeditor. Είναι ένας δημοφιλής, εξαιρετικός και ανοιχτού κώδικα WYSIWYG επεξεργαστής.

Το Drupal χρησιμοποιεί CKEditor, το οποίο ενημερώθηκε στην έκδοση 4.14, έκδοση η οποία και αντιμετωπίζει αυτές τις XSS ευπάθειες.

“Το έργο Drupal χρησιμοποιεί βιβλιοθήκη του CKEditor, η οποία υκλοφόρησε κάποιες, απαραίτητες για την προστασία ορισμένων διαμορφώσεων του Drupal, ενημερώσεις ασφαλείας .” λέει μια ανακοίνωση του Drupal.

“Ευπάθειας ασφλείας είναι πιθανές εάν το Drupal χρησιμοποιεί WYSIWYG για τους χρήστες της ιστοσελίδας σας. Ένας hacker  ο οποίος μπορεί να δημιουργήσει ή να επεξεργαστεί περιεχόμενο, μπορεί να εκμεταλλευτεί αυτήν την ευπάθεια του XSS (Cross Site Scripting) και να στοχεύσει χρήστες που έχουν πρόσβαση στο WYSIWYG CKEditor, όπως διαχειριστές  με προνομιακά δικαιώματα. Και τα δύο θέματα αυτά, αξιολογήθηκαν ως μέτριας κρισιμότητας και έλαβαν βαθμολογία κινδύνου 13/25.

Οι πιο πρόσφατες εκδόσεις του Drupal, εκδόσεις 8.8.4 ή 8.7.12, περιλαμβάνουν την έκδοση 4.14 του CKEditor που αντιμετωπίζει και τα δύο ζητήματα.

 

Οι εκδόσεις Drupal 8 πριν από το 8.7.x πλέον δεν θα λάβουν ενημερώσεις ασφαλείας. Το Drupal 7 επίσης δεν επηρεάζεται από το παραπάνω πρόβλημα, αλλά συνιστάται η χρήση CKEditor 4.14 έκδοσης ή νεότερης. Ωστόσο, ο κίνδυνος εκμετάλλευσης θα μπορούσε να μηδενιστεί  με την απενεργοποίηση του CKEditor.

Για παράδειγμα, ένα από τα ελαττώματα στα XSS επηρεάζει τον επεξεργαστή του HTML. Έτσι θα μπορούσε να γίνει exploit, βάζοντας κακόβουλο html κώδικα στον editor, είτε αυτός είναι σε λειτουργία WYSIWYG είτε σε source mode.

Το άλλο πρόβλημα επηρεάζει ένα plugin τρίτου μέρους που ονομάζεται WebSpellChecker Dialog το οποίο περιλαμβάνεται στις προεπιλογές του CKEditor 4. Θα μπορούσε να γίνει exploit από έναν εισβολέα, κάνοντας το θύμα να αλλάξει τον τρόπο λειτουργίας του CKEditor σε source mode. Στη συνέχεια, ο εισβολέας θα μπορούσε να προσθέσει κακόβουλο κώδικα, και να δει τα περιεχόμενα της σελίδα αφού το θύμα επιστρέψει σε WYSIWYG.

SecNews
SecNewshttps://www.secnews.gr
In Depth IT Security News

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Πώς η τηλεργασία κάνει τους χρήστες πιο ευάλωτους στους χάκερς;

Ο Κοροναϊός έχει μολύνει περισσότερους από 450.000 ανθρώπους παγκοσμίως και τώρα οι ειδικοί στον τομέα της κυβερνοασφάλειας προειδοποιούν ότι η πανδημία θα...

Ποιες είναι οι πιο συχνές απειλές για τις επιχειρήσεις;

Κατά τη διάρκεια του 2019, οι μισές περίπου επιχειρήσεις έπεσαν θύμα μιας κυβερνοεπίθεσης ή παραβίασης δεδομένων. Σχεδόν...

Τρεις ακόμα συμμορίες ransomware εκθέτουν δεδομένα θυμάτων σε sites

Τρεις ακόμη συμμορίες ransomware ανακοίνωσαν τη δημιουργία sites, που χρησιμοποιούνται για τη διαρροή κλεμμένων δεδομένων, που ανήκουν...

Zoom: Ποια χαρακτηριστικά του το καθιστούν πιο δημοφιλές από το Skype;

Κάποτε το Skype ήταν η δημοφιλέστερη εφαρμογή βιντεοκλήσεων καθώς την επέλεγε ένα τεράστιο ποσοστό ανθρώπων όταν επρόκειτο να επικοινωνήσουν εξ αποστάσεως. Το...

Το «Control» και άλλα παιχνίδια διαθέσιμα πλέον στο GeForce Now

Η NVIDIA έχει εμπλουτίσει τον κατάλογο των παιχνιδιών που υποστηρίζονται στο GeForce Now, με ένα πλήθος νέων...

Ευπάθεια παράκαμψης VPN ανακαλύφθηκε στο Apple iOS

Μία νέα ευπάθεια «VPN Bypass», η οποία ανακαλύφθηκε πρόσφατα στο Apple iOS, μπλοκάρει την κρυπτογράφηση που πραγματοποιούν...

Εργοδότες παρακολουθούν με λογισμικά επιτήρησης τους υπαλλήλους που δουλεύουν από το σπίτι

Ο κορωνοϊός έχει φέρει νέες συνθήκες στον τομέα της εργασίας. Όλο και περισσότεροι εργαζόμενοι δουλεύουν πλέον από το σπίτι και όλο και...

Microsoft: Κυκλοφόρησε το πρώτο preview του Powershell 7.1 για Windows, Linux και macOS

Η Microsoft κυκλοφόρησε το πρώτο preview του PowerShell 7.1, του εργαλείου αυτοματοποίησης και γραφής γλώσσας για τα Windows, Linux και macOS. Το...

Η Google ανακοίνωσε ζητήματα σχετικά με τις ενημερώσεις του Chrome

Η Google έχει ήδη ανακοινώσει ορισμένες περικοπές στην ανάπτυξη του προγράμματος περιήγησης Chrome και τώρα φαίνεται ότι...

7 τρόποι για να αυξήσετε την ταχύτητα και την αξιοπιστία του Wi-Fi σας!

Τώρα που πολλοί από εμάς είμαστε στο σπίτι συνέχεια ως αποτέλεσμα της πανδημίας του COVID-19, υπερφορτώνουμε το οικιακό μας δίκτυο. Παρακάτω θα...