CKEditor编辑库漏洞曝光,允许未经身份验证的黑客进行XSS攻击

发表于:2020-3-25 09:33  作者:佚名   来源:安胜ANSCEN

字体: | 上一篇 | 下一篇 |我要投稿 | 推荐标签: 漏洞

  据外媒报道,Drupal内容管理系统研究人员近日披露,CKEditor开源WYSIWYG编辑器存在严重漏洞,该漏洞允许未经身份验证的黑客访问任意跨站点脚本,并进行XSS攻击。
  
  值得注意的是,Drupal已将CKEditor更新至版本4.14,如需利用该版本的两个漏洞,黑客必须以WYSIWYG或源代码模式将恶意HTML代码粘贴到编辑器中,或将CKEditor切换到源代码模式,粘贴恶意代码,再切换回所得模式,并使用WebSpellChecker Dialog插件文件预览内容,发动XSS攻击。
  专家建议用户将Drupal更新到版本8.8.4或8.7.12,并禁用CKEditor模块以防止潜在攻击。

     本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理

评 论

论坛新帖

顶部 底部


建议使用IE 6.0以上浏览器,800×600以上分辨率,法律顾问:上海瀛东律师事务所 张楠律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2020, 沪ICP备05003035号
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪公网安备 31010102002173号

51Testing官方微信

51Testing官方微博

扫一扫 测试知识全知道