本周三,Drupal 内容管理系统开发人员宣布称更新了版本8.8.x和8.7.x,解决了影响 CKEditor 库的多个漏洞。CKEditor 是一款流行的开源 WYSIWYG 编辑器,它配置高且功能达数百个。Drupal 使用 CKEditor 并将其更新至4.14版本,修复了影响 CKEditor 早期版本的两个跨站点脚本 (XSS) 漏洞。Drupal 在安全公告中指出,“如果在网站上配置 Drupal,使用户使用 WYSIWYG CKEditor,那么就可能存在漏洞。当多人同时编辑内容时,该漏洞可被用于对他人(包括拥有更多访问权限的网站管理员)执行 XSS 攻击。”开发人员建议用户将 Drupal 更新至版本 8.8.4或8.7.12,或者也可通过禁用 CKEditor 模块的方式阻止攻击。开发人员表示,虽然 Drupal 7 并不受影响,但使用该版本的网站管理员应该确保CKEditor已更新至4.14版本或更高版本。虽然 Drupal 对这些漏洞的说明可能表明漏洞影响严重,但评分为“中等严重”,风险评分为13/25。
CKEditor4.14 发布说明表示,利用这些缺陷牵涉“不可能的”或“高度不可能的”场景。例如,其中一个弱点影响 HTML 数据处理器。为利用该弱点,攻击者必须说服目标用户以 WYSIWYG 模式或源模式将恶意 HTML 代码粘贴到该编辑器。第二个缺陷影响名为 “WebSpellChecker Dialog” 的第三方插件。要发动 XSS 攻击,黑客需要说服受害者将 CKEditor 切换为源模式、粘贴恶意代码、切换回 WYSIWYG 模式,并预览可使用 WebSpelChecker Dialog 插件文件的页面内容。这是 Drupal 开发人员今年发布的首个补丁,他们在2019年发布了7轮安全更新。虽然 Drupal 并未像WordPress 那样成为“众矢之的”,但之前发现的某些漏洞也被用于劫持网站。
https://www.securityweek.com/drupal-updates-ckeditor-patch-xss-vulnerabilities
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。