Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04936

Опубликовано: 06 мар. 2020
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость WYSIWYG-редактора Ckeditor существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, осуществлять межсайтовые сценарные атаки путем отправки специально сформированного комментария

Вендор

Oracle Corp.
Fedora Project
The CKEditor Team

Наименование ПО

PeopleSoft Enterprise PeopleTools
WebCenter Portal
Fedora
Oracle Agile PLM
CKEditor
Siebel CRM
JD Edwards EnterpriseOne Tools

Версия ПО

8.56 (PeopleSoft Enterprise PeopleTools)
8.57 (PeopleSoft Enterprise PeopleTools)
11.1.1.9.0 (WebCenter Portal)
12.2.1.3.0 (WebCenter Portal)
30 (Fedora)
31 (Fedora)
32 (Fedora)
12.2.1.4.0 (WebCenter Portal)
8.58 (PeopleSoft Enterprise PeopleTools)
9.3.5 (Oracle Agile PLM)
9.3.6 (Oracle Agile PLM)
от 4.0 до 4.14 (CKEditor)
до 21.2 включительно (Siebel CRM)
до 9.2.5.2 (JD Edwards EnterpriseOne Tools)

Тип ПО

Прикладное ПО информационных систем
Сетевое программное средство
Операционная система

Операционные системы и аппаратные платформы

Fedora Project Fedora 30
Fedora Project Fedora 31
Fedora Project Fedora 32

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для CKEditor:
https://github.com/ckeditor/ckeditor4
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2020.html
https://www.oracle.com/security-alerts/cpujan2021.html
https://www.oracle.com/security-alerts/cpuapr2021.html
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7OJ4BSS3VEAEXPNSOOUAXX6RDNECGZNO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L322YA73LCV3TO7ORY45WQDAFJVNKXBE/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/M4HHYQ6N452XTCIROFMJOTYEUWSB6FR4/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 71%
0.00716
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-9281

CVSS3: 6.1
ubuntu
больше 5 лет назад

A cross-site scripting (XSS) vulnerability in the HTML Data Processor for CKEditor 4.0 before 4.14 allows remote attackers to inject arbitrary web script through a crafted "protected" comment (with the cke_protected syntax).

nvd логотип

CVE-2020-9281

CVSS3: 6.1
nvd
больше 5 лет назад

A cross-site scripting (XSS) vulnerability in the HTML Data Processor for CKEditor 4.0 before 4.14 allows remote attackers to inject arbitrary web script through a crafted "protected" comment (with the cke_protected syntax).

github логотип

GHSA-vcjf-mgcg-jxjq

CVSS3: 6.1
github
около 4 лет назад

CKEditor 4.0 vulnerability in the HTML Data Processor

EPSS

Процентиль: 71%
0.00716
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2