Code Snippet GeSHi 插件存在跨站点脚本 (XSS) 漏洞 (CVE-2024-43407)

admin
admin
admin
0
文章
0
评论
2024-08-23 00:22:56 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Code Snippet GeSHi 插件存在跨站点脚本 (XSS) 漏洞 (CVE-2024-43407)

CVE编号

CVE-2024-43407

利用情况

暂无

补丁情况

N/A

披露时间

2024-08-21
漏洞描述
CKEditor4是一个所见即所得的开源HTML编辑器。在CKEditor 4的代码片段GeSHi插件中发现了一个潜在的安全漏洞。该漏洞可以通过利用受害者主机上的GeSHi语法高亮库的缺陷来进行反射XSS攻击。GeSHi库作为供应商依赖项包含在CKEditor 4源代码文件中。在特定情况下,攻击者可以构建恶意脚本,通过向托管在PHP服务器上的GeSHi库发送请求来执行该脚本。由于GeSHi库不再主动维护,继续使用它可能会带来潜在的安全隐患。为了减少这些风险并增强CKEditor 4的整体安全性,我们已经决定完全删除GeSHi库作为依赖项。这一变更旨在维护安全环境,降低与过时或不受支持软件相关的任何安全事件的风险。此修复程序将在版本4.25.0-lts中可用。
解决建议
"将组件 ckeditor4 升级至 4.25.0 及以上版本"
参考链接
https://github.com/ckeditor/ckeditor4/commit/71072c9f7f263329841bd38e7e5309074c82ef94
https://github.com/ckeditor/ckeditor4/commit/951e7d75fcbcaa2590b0719fb0bb0dd0539ca6fa
https://github.com/ckeditor/ckeditor4/security/advisories/GHSA-7r32-vfj5-c2jv
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-21690利用情况 暂无补丁情况 N/A披露时间 2024-08-22漏洞描述Confluence Data Cente
08-230 评论
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-39344利用情况 暂无补丁情况 N/A披露时间 2024-08-22漏洞描述在 Salesforce 的 Docusi
08-230 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0