В наличии бреши повинен один из плагинов JavaScript-библиотеки CKEditor сторонней разработки.
В минувшую среду команда Drupal выпустила обновления с патчем для XSS-уязвимости, крывшейся в модуле CKEditor ядра CMS-системы.
Данная брешь, оцененная как умеренно опасная, актуальна лишь для Drupal 8; пользователям рекомендуется установить сборку 8.5.2 или 8.4.7.
Согласно блог-записи разработчика JavaScript-библиотеки CKEditor, шанс для проведения XSS-атаки появляется при использовании плагина image2 — усовершенствованной версии плагина для работы с изображениями в этом редакторе. Данный плагин не входит в состав CKEditor типовой комплектации, поэтому риску подвержены лишь кастомные варианты редактора с активированным image2.
XSS обычно срабатывает, когда пользователь, совершив переход по услужливо представленной ссылке, открывает в браузере страницу с внедренным вредоносным кодом. Подобные атаки грозят захватом контроля над системой жертвы.
Обнаруженная независимым исследователем XSSприсутствует в CKEditor сборок с 4.5.11 по 4.9.1. Устраняет уязвимость корректирующий выпуск CKEditor 4.9.2.
Соответствующие исправления внесены и в ядро Drupal 8. В бюллетене на сайте проекта отмечено, что Drupal 7 эта уязвимость не затрагивает, если используется модуль CKEditor 7.x-1.18, привязанный к CDN-сети. В том случае, если редактор был установлен в Drupal 7 иным способом — вместе с модулем WYSIWYG или локально, — его следует обновить, посетив страницу загрузок CKEditor.