CKEditor: foram lançadas atualizaçÔes para as versÔes 8.8.xe 8.7.x.

CKEditor: atualizaçÔes foram lançadas para as versÔes 8.8.xe 8.7.x.

A equipe de desenvolvimento do Drupal lançou atualizaçÔes de segurança para 8.8.xe 8.7.x que lidam com duas vulnerabilidades XSS que afetam o CKEditor, o sucessor do FCKeditor. É um processador WYSIWYG popular, excelente e de cĂłdigo aberto.

O Drupal usa o CKEditor, que foi atualizado para a versĂŁo 4.14, uma versĂŁo que soluciona essas vulnerabilidades do XSS.

“O projeto Drupal usa a biblioteca CKEditor, que lançou algumas atualizaçÔes de segurança necessĂĄrias para proteger determinadas configuraçÔes do Drupal.” diz uma declaração do Drupal.

“As vulnerabilidades de segurança sĂŁo possĂ­veis se o Drupal usa o WYSIWYG para os usuĂĄrios do seu site. Um hacker que pode criar ou editar conteĂșdo pode explorar essa vulnerabilidade do XSS (Cross Site Scripting) e direcionar usuĂĄrios que tenham acesso ao WYSIWYG CKEditor, como administradores privilegiados. Ambos os problemas foram avaliados como moderadamente crĂ­ticos e receberam uma pontuação de risco de 13/25.

As versÔes mais recentes do Drupal, versÔes 8.8.4 ou 8.7.12, incluem a versão 4.14 do CKEditor que aborda os dois problemas.

As versÔes do Drupal 8 anteriores ao 8.7.x não receberão mais atualizaçÔes de segurança. O Drupal 7 também não é afetado pelo problema acima, mas o uso do CKEditor 4.14 versão ou posterior é recomendado. No entanto, o risco de exploração pode ser reduzido a zero ao desativar o CKEditor.

Por exemplo, um dos defeitos no XSS afeta o processador HTML. Portanto, ele pode ser explorado, colocando cĂłdigo html malicioso no editor, seja no modo WYSIWYG ou no modo de origem.

O outro problema afeta um plug-in de terceiros chamado WebSpellChecker Dialog, que estĂĄ incluĂ­do no CKEditor 4. padrĂ”es que podem ser explorados por um invasor, fazendo com que a vĂ­tima mude a maneira como o CKEditor trabalha no modo de origem. O invasor pode entĂŁo adicionar cĂłdigo malicioso e visualizar o conteĂșdo da pĂĄgina depois que a vĂ­tima retornar ao WYSIWYG.