Drupal CKEditor / FCKeditor modulok cross site scripting és kódfuttatás sérülékenységek

CH azonosító

CH-6549

Angol cím

Drupal CKEditor / FCKeditor Modules Cross Site Scripting and Code Execution Vulnerabilities

Felfedezés dátuma

2012.03.14.

Súlyosság

Közepes

Érintett rendszerek

CKEditor modul
Drupal
FCKeditor module

Érintett verziók

Drupal CKEditor Module 6.x
Drupal CKEditor Module 7.x
Drupal FCKeditor Module 6.x

Összefoglaló

A Drupal CKEditor és FCKeditor modulok olyan sérülékenységei váltak ismertté, amelyeket rosszindulatú felhasználók kihasználhatnak a sérülékeny rendszer feltörésére és a támadók cross-site scripting (XSS/CSS) támadások kezdeményezésére.

Leírás

  1. Bizonyos bemeneti adat a tartalom szerkesztésekor nem kerül megfelelően ellenőrzésre, mielőtt a felhasználó részére visszaküldésre kerülne. Ez kihasználható tetszőleges HTML és script kód futtatására a felhasználó böngészőjének munkamenetében, az érintett oldallal kapcsolatosan.
  2. Bizonyos nem részletezett bemeneti adat nem kerül megfelelően ellenőrzésre, mielőtt felhasználásra kerülne, ez kihasználható tetszőleges PHP kód futtatására.

Megjegyzés: A sérülékenység sikeres kihasználásához az FCKeditor 6.x.verzió esetében szükség van az “access fckeditor” és a CKEditor 6.x. verzió esetében az “access ckeditor” jogosultságokra.

A sérülékenységeket az FCKeditor modul 6.x-2.x., 6.x-2.3. megelőző és a CKEditor modul 6.x-1.x.,6.x-1.9. megelőző és 7.x-1.x., 7.x-1.7. megelőző verziókban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2011-3402 – Microsoft Windows Remote Code Execution sérülékenysége
CVE-2021-43226 – Microsoft Windows Privilege Escalation sérülékenysége
CVE-2021-43798 – Grafana Path Traversal sérülékenysége
CVE-2025-11371 – Gladinet CentreStack and TrioFox sérülékenysége
CVE-2025-11198 – Juniper Networks Security Director Policy Enforcer sérülékenysége
CVE-2025-59975 – Juniper Networks Junos Space sérülékenysége
CVE-2025-59964 – Juniper Networks Junos OS sérülékenysége
CVE-2025-60004 – Juniper Networks Junos OS and Junos OS Evolved sérülékenysége
CVE-2025-59968 – Juniper Networks Junos Space Security Director sérülékenysége
Tovább a sérülékenységekhez »