События

В Drupal обнаружена очередная уязвимость

Второй раз за месяц в Drupal обнаружена очередная уязвимость, позволяющая осуществлять широкий спектр атак, включая похищение cookie-файлов, кейлоггинг, фишинг и кражу личности.

Команда Drupal обнаружила XSS-уязвимость в стороннем плагине CKEditor, интегрированном с ядром Drupal и позволяющим администраторам и пользователям создавать интерактивный контент. CKEditor представляет собой популярный WYSIWYG-редактор текстов в формате RTF, используемый на многих сайтах и предустановленный в некоторых web-проектах.

Как сообщается в уведомлении безопасности от разработчиков плагина, уязвимость связана с некорректной валидацией тега «img» плагином Enhanced Image для версии CKEditor 4.5.11 и более поздних. Злоумышленник может проэксплуатировать ее для выполнения произвольного кода HTML или JavaScript в браузере пользователя.

Плагин Enhanced Image впервые появился в версии CKEditor 4.3 и обеспечивает возможность встраивать изображения в контент с помощью редактора.

Уязвимость исправлена в версии CKEditor 4.9.2. Разработчики Drupal исправили ее в Drupal 8.5.2 и Drupal 8.4.7. Проблема не затрагивает CKEditor в версиях Drupal 7.x, поскольку здесь конфигурация плагина предполагает загрузку с CDN-серверов.

Напомним , недавно в Drupal была обнаружена критическая уязвимость Drupalgeddon 2, позволяющая злоумышленникам перехватывать контроль над уязвимыми сайтами.

WYSIWYG (What You See Is What You Get, «что видишь, то и получишь») – свойство прикладных программ или web-интерфейсов, в которых содержание отображается в процессе редактирования и выглядит максимально близко похожим на конечную продукцию (печатный документ, web-страницу презентацию и пр.).

Источник

Автор: Сергей Куприянов
19.04.2018 (11:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.