2018-0764: Drupal Core, CKEditor: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff

Historie:

Version 1 (2018-04-20 17:51)

Neues Advisory

Version 2 (2018-05-02 12:41)

Für Fedora 26, 27 und 28 stehen Sicherheitsupdates für CKEditor auf Version 4.9.2 im Status 'testing' bereit, welche die Cross-Site-Scripting (XSS)-Schwachstelle beheben.

Betroffene Software

Entwicklung
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in der in Drupal 7 und 8 enthaltenen Drittanbieter JavaScript-Bibliothek CKEditor ermöglicht einem entfernten, einfach authentifizierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff.

Der Hersteller informiert über die Schwachstelle und stellt Version 4.9.2 als Sicherheitsupdate bereit.

Drupal bietet für die Version 8 ein Sicherheitsupdate auf die Version 8.5.2 oder die Version 8.4.7 an, um die Schwachstelle zu beheben. CKEditor ist Bestandteil von Drupal Core 8.x.

Bei Verwendung der Version 7 und CKEditor Versionen 4.5.11 bis 4.9.1 empfiehlt Drupal ein Update auf CKEditor Version 4.9.2, um die Schwachstelle zu schließen.

Schwachstellen:

CVE-2018-9861

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.