2022-0555: Znuny: Mehrere Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe

Historie:

Version 1 (2022-03-10 12:04)

Neues Advisory

Betroffene Software

Middleware
Office
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen in CKEditor und jQuery UI aus der Ferne ausnutzen, um verschiedene Cross-Site-Scripting (XSS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers und die erfolgreiche Ausnutzung der Schwachstellen kann Einfluss auf andere Komponenten haben.

Der Hersteller informiert über die Schwachstellen und stellt Znuny LTS 6.0.40 zur Behebung bereit. CKEditor wird damit von Version 4.16.0 auf Version 4.17.1 gebracht, womit die mit den CKEditor Versionen 4.16.2 und 4.17.0 behobenen Schwachstellen adressiert werden. jQuery UI wird mit dem Update von Version 1.12.1 auf Version 1.13.1 gebracht.

Schwachstellen:

CVE-2021-32808

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-32809

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-37695

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41164

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41165

Schwachstelle in CKEditor ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41182

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41183

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-41184

Schwachstelle in jQuery-UI ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.