7.5высокая
BDU:2022-02008 (CVE-2021-41165)
Уязвимость модуля обработки HTML-страниц WYSIWYG-редактора CKEditor, позволяющая нарушителю осуществлять межсайтовые сценарные атаки
Опубликовано: 2022-04-08
Описание
Уязвимость модуля обработки HTML-страниц WYSIWYG-редактора CKEditor связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки
Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Oracle Banking Digital Experience (18.1)Oracle Banking Digital Experience (18.2)Oracle Banking Digital Experience (18.3)Oracle Banking Digital Experience (19.1)Oracle Banking Digital Experience (19.2)Oracle Banking Digital Experience (20.1)Debian GNU/Linux (11)Drupal (от 9.2 до 9.2.9)Drupal (от 9.1 до 9.1.14)Drupal (от 8.9 до 8.9.20)Oracle Banking Digital Experience (21.1)Oracle Banking APIs (от 18.1 до 18.3 включительно)Oracle Banking APIs (19.1)Oracle Banking APIs (19.2)Oracle Banking APIs (20.1)Oracle Banking APIs (21.1)CKEditor (до 4.17.0)
Способ устранения
Использование рекомендаций:
Для CKEditor:
https://github.com/ckeditor/ckeditor4/blob/major/CHANGES.md#ckeditor-417
https://github.com/ckeditor/ckeditor4/security/advisories/GHSA-7h26-63m7-qhf2
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html
Для Drupal:
https://www.drupal.org/sa-core-2021-011
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-41165
Оценка CVSS
| Балл | 7.5 — высокая опасность |
Источники и патчи