速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
广泛应用的web内容管理系统 (CMS) Drupal发布了关于与其绑定的第三方富文本编辑器 CKEditor 的安全更新。Drupal 指出,由于 CKEditor 集成到很多在线应用中,因此其中存在的两个“中等严重”的跨站点脚本漏洞可能产生广泛影响。
CKEditor 开源编辑器的下载量已超过3000万次,用于多家组织机构中如微软、西门子、沃尔沃、迪斯尼、德勤等等。Drupal 本身为100多万个网站提供支持,其下载量十分庞大。
Drupal 安全团队的志愿者成员兼 Morris 动物基金会的信息系统高级主管 Greg Knaddison 指出,“所有使用 CKEditor 的人都应该更新该库,漏洞影响很多 Drupal 网站以及很多其它各种包括CMS在内的站点。”
这些XSS 漏洞可导致攻击者“注入畸形的 HTML 绕过内容清理机制,从而导致 JavaScript 代码被执行。”开发人员 William Bowling 发现这些漏洞位于HTML 核心处理模块中,安全研究员 Maurice Dauer 发现还存在于高阶的内容过滤器模块中。
Drupal 表示,如果用户将Drupal 配置为允许 CKEditor 库进行 WYSIWYG 编辑,则易受攻击。Drupal 在11月17日发布的安全公告中指出,“能够创建或编辑内容(即使无需访问 CKEditor 本身)的攻击者或许能够利用一个或多个漏洞,攻击能够访问 WSYIWYG CKEditor的用户,包括具有特权的网站管理员。”
鉴于安全威胁的级别,美国网络安全和基础设施安全局 (CISA) 甚至发布了关于应用相关更新的公告提醒。
CKSource 在11月17日发布了版本4.17.0 和热补丁修复了这两个XSS漏洞。4.17.0之前的版本均受影响。
建议 Drupal 9.2 的用户更新至 Drupal 9.2.9,Drupal 9.1 的用户更新至 Drupal 9.1.14,而 Drupal 8.9 的用户应该更新至 Drupal 8.9.20。Drupal 8 的更新是最后发布,它和早于 9.1.x的版本均已达到生命周期。
Knaddison 指出,用户应更新至 Drupal 8,“并且尽快升级至Drupal 9”。他还表示,“我们在本次发布周期管理了降级和向后兼容问题,因此更新过程很简单。”
尽管 Drupal 7 并未包含 CKEditor 模块,但 Knaddison 表示 “如果站点通过专用模块使用了 CKEditor则可能受影响。对于在安装过程中需要站点管理员需要下载库代码(如 CKEditor)的模块,安全团队并未发布安全公告。“
Knaddison 对发现报告的研究员以及“报告该漏洞并持续更进的CKSource 团队的 Jacek Bogdanski“表示感谢,盛赞他们使其在一定的时间范围内完成修复并推出热补丁。
本文提到的漏洞和Securitum 公司的研究员 Michal Bentkowski 在2020年3月找到的另外一个XSS漏洞存在关联。
“木马源”攻击影响多数编程语言的编译器,将在软件供应链攻击中发挥巨大作用GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
https://portswigger.net/daily-swig/ckeditor-vulnerabilities-pose-xss-threat-to-drupal-and-other-downstream-applications
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。