ГлавнаяБаза уязвимостей БДУ → BDU:2020-04936
6.4средняя

BDU:2020-04936 (CVE-2020-9281)

Уязвимость WYSIWYG-редактора Ckeditor, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2020-11-02
Описание

Уязвимость WYSIWYG-редактора Ckeditor существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки путем отправки специально сформированного комментария

Затрагиваемое ПО и версии
PeopleSoft Enterprise PeopleTools (8.56)PeopleSoft Enterprise PeopleTools (8.57)WebCenter Portal (11.1.1.9.0)WebCenter Portal (12.2.1.3.0)Fedora (30)Fedora (31)Fedora (32)WebCenter Portal (12.2.1.4.0)PeopleSoft Enterprise PeopleTools (8.58)Oracle Agile PLM (9.3.5)Oracle Agile PLM (9.3.6)CKEditor (от 4.0 до 4.14)Siebel CRM (до 21.2 включительно)JD Edwards EnterpriseOne Tools (до 9.2.5.2)
Способ устранения

Использование рекомендаций:
Для CKEditor:
https://github.com/ckeditor/ckeditor4

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7OJ4BSS3VEAEXPNSOOUAXX6RDNECGZNO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L322YA73LCV3TO7ORY45WQDAFJVNKXBE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M4HHYQ6N452XTCIROFMJOTYEUWSB6FR4/

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/ckeditor/ckeditor4https://www.oracle.com/security-alerts/cpuoct2020.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7OJ4BSS3VEAEXPNSOOUAXX6RDNECGZNO/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L322YA73LCV3TO7ORY45WQDAFJVNKXBE/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M4HHYQ6N452XTCIROFMJOTYEUWSB6FR4/https://nvd.nist.gov/vuln/detail/CVE-2020-9281https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.oracle.com/security-alerts/cpuapr2021.html
Проверьте безопасность своего сайта и почты → Полная проверка домена