CKEditor 5 — это современный редактор форматированного текста JavaScript с архитектурой MVC. До версии 47.6.0 в функции общей поддержки HTML была обнаружена уязвимость межсайтового скриптинга (XSS). Эта уязвимость может быть вызвана вставкой специально созданной разметки, приводящей к несанкционированному выполнению кода JavaScript, если экземпляр редактора использует небезопасную конфигурацию общей поддержки HTML.
Эта проблема исправлена в версии 47.6.0.
Показать оригинальное описание (EN)
CKEditor 5 is a modern JavaScript rich-text editor with an MVC architecture. Starting in version 29.0.0 and prior to version 47.6.0, a cross-site scripting (XSS) vulnerability has been discovered in the General HTML Support feature. This vulnerability could be triggered by inserting specially crafted markup, leading to unauthorized JavaScript code execution, if the editor instance used an unsafe General HTML Support configuration. This issue has been patched in version 47.6.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ckeditor Ckeditor5
cpe:2.3:a:ckeditor:ckeditor5:*:*:*:*:*:*:*:*
|
— |
47.6.0
|