4.9средняя
BDU:2022-02391
Уязвимость модуля Advanced Content Filter WYSIWYG-редактора CKEditor , позволяющая нарушителю обойти существующую политику ограничения доступа для HTML-элементов
Опубликовано: 2022-04-19
Описание
Уязвимость модуля Advanced Content Filter WYSIWYG-редактора CKEditor связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующую политику ограничения доступа для HTML-элементов
Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Oracle Banking Digital Experience (18.1)Oracle Banking Digital Experience (18.2)Oracle Banking Digital Experience (18.3)Oracle Banking Digital Experience (19.1)Oracle Banking Digital Experience (19.2)Oracle Banking Digital Experience (20.1)Debian GNU/Linux (11)Drupal (от 8.9 до 8.9.20)Oracle Banking Digital Experience (21.1)Oracle Banking APIs (от 18.1 до 18.3 включительно)Oracle Banking APIs (19.1)Oracle Banking APIs (19.2)Oracle Banking APIs (20.1)Oracle Banking APIs (21.1)CKEditor (от 4.0 до 4.17.0)Drupal (от 9.1.0 до 9.1.14)Drupal (от 9.2.0 до 9.2.9)
Способ устранения
Использование рекомендаций:
Для CKEditor:
https://github.com/ckeditor/ckeditor4/blob/major/CHANGES.md#ckeditor-417
Для Drupal:
https://www.drupal.org/sa-core-2021-011
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html
Оценка CVSS
| Балл | 4.9 — средняя опасность |
Источники и патчи