漏洞信息详情
Drupal CKEditor Enhanced Image插件跨站脚本漏洞
- CNNVD编号:CNNVD-201804-1117 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2018-9861
- 漏洞类型: 跨站脚本
- 发布时间: 2018-04-19
- 威胁类型: 远程
- 更新时间: 2019-07-19
- 厂 商: drupal
- 漏洞来源: Kyaw Min Thein.
-
漏洞简介
Drupal是Drupal社区所维护的一套用PHP语言开发的免费、开源的内容管理系统。CKEditor是其中的一个文字编辑器。Enhanced Image(又名image2)是其中的一个图片增强插件。
Drupal 8.4.7之前的8版本和8.5.2之前的8.5.x版本和其他产品中的CKEditor 4.5.10版本至4.9.1版本的Enhanced Image插件存在跨站脚本漏洞。远程攻击者可借助特制的IMG元素利用该漏洞注入任意的Web脚本。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.drupal.org/sa-core-2018-003
参考网址
来源:www.drupal.org
链接:https://www.drupal.org/sa-core-2018-003
来源:www.oracle.com
链接:https://www.oracle.com/technetwork/security-advisory/cpujul2019-5072835.html
来源:ckeditor.com
链接:https://ckeditor.com/blog/CKEditor-4.9.2-with-a-security-patch-released/
来源:drupal.org
链接:http://drupal.org/
来源:ckeditor.com
链接:https://ckeditor.com/ckeditor-4/download/releases/
来源:ckeditor.com
链接:https://ckeditor.com/cke4/release-notes
来源:ckeditor.com
链接:https://ckeditor.com/cke4/release-notes?page=1
来源:github.com
链接:https://github.com/ckeditor/ckeditor-dev/blob/master/CHANGES.md
来源:www.securityfocus.com
链接:https://www.securityfocus.com/bid/103924
受影响实体
- Drupal Drupal:8.0.0<!--2000-1-1-->
- Drupal Drupal:8.0.0:Alpha10<!--2000-1-1-->
- Drupal Drupal:8.0.0:Alpha11<!--2000-1-1-->
- Drupal Drupal:8.0.0:Alpha12<!--2000-1-1-->
- Drupal Drupal:8.0.0:Alpha13<!--2000-1-1-->
补丁
- Drupal CKEditor Enhanced Image插件跨站脚本漏洞的修复措施<!--2018-4-19-->
还没有评论,来说两句吧...