В минувшую среду команда Drupal выпустила обновления с патчем для XSS-уязвимости, крывшейся в модуле CKEditor ядра CMS-системы.

Данная брешь, оцененная как умеренно опасная, актуальна лишь для Drupal 8; пользователям рекомендуется установить сборку  8.5.2 или 8.4.7.

Согласно блог-записи разработчика JavaScript-библиотеки CKEditor, шанс для проведения XSS-атаки появляется при использовании плагина image2 — усовершенствованной версии плагина для работы с изображениями в этом редакторе. Данный плагин не входит в состав CKEditor типовой комплектации, поэтому риску подвержены лишь кастомные варианты редактора с активированным image2.

XSS обычно срабатывает, когда пользователь, совершив переход по услужливо представленной ссылке, открывает в браузере страницу с внедренным вредоносным кодом. Подобные атаки грозят захватом контроля над системой жертвы.

Обнаруженная независимым исследователем XSSприсутствует в CKEditor сборок с 4.5.11 по 4.9.1. Устраняет уязвимость корректирующий выпуск CKEditor 4.9.2.

Соответствующие исправления внесены и в ядро Drupal 8. В бюллетене на сайте проекта отмечено, что Drupal 7 эта уязвимость не затрагивает, если используется модуль CKEditor 7.x-1.18, привязанный к CDN-сети. В том случае, если редактор был установлен в Drupal 7 иным способом — вместе с модулем WYSIWYG или локально, — его следует обновить, посетив страницу загрузок CKEditor.

Категории: Уязвимости