2020-0582: Drupal Core, CKEditor: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2020-03-23 10:55): Neues Advisory
Version 2 (2020-03-24 16:05): Für Fedora 30 und 31 stehen Sicherheitsupdates von Drupal auf die Version 8.8.4 in Form von 'drupal8-8.8.4-1'-Paketen im Status 'testing' bereit.

Betroffene Software

Entwicklung
Office
Server

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein entfernter Angreifer kann zwei Schwachstellen in der in Drupal 8.7.x und 8.8.x enthaltenen Drittanbieter JavaScript-Bibliothek CKEditor unter bestimmten Umständen für Cross-Site-Scripting (XSS)-Angriffe ausnutzen. Ein erfolgreicher Angriff erfordert die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben.

Der Hersteller informiert über die Schwachstellen und stellt CKEditor 4.14 als Sicherheitsupdate bereit.

Für Fedora 30 und 31 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf diese Version im Status 'testing' bereit.

Drupal bietet für Drupal 8.7.x und 8.8.x ein Sicherheitsupdate auf die Versionen 8.7.12 und 8.8.6 an, um die Schwachstelle zu beheben. CKEditor ist Bestandteil von Drupal Core 8.x.
Versionen von Drupal 8 vor 8.7.x sind End-of-Life und erhalten keine Sicherheitsupdates mehr.

Drupal 7 ist von diesem Release nicht betroffen. Anwender der Third-Party CKEditor Bibliothek (z. B. mit einem Zusatzmodul) sollten aber sicherstellen, dass die heruntergeladene Bibliothek auf CKEditor 4.14 oder höher aktualisiert wird, oder dass CDN URLs auf eine Version von CKEditor 4.14 oder höher zeigen. Zur Mitigation der Schwachstellen bis die Website aktualisiert ist, können alle WYSIWYG-Module deaktiviert werden.

Schwachstellen:

CVE-2020-9281

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-9440