Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-02008

Опубликовано: 17 нояб. 2021
Источник: fstec
CVSS3: 8.2
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость модуля обработки HTML-страниц WYSIWYG-редактора CKEditor связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществлять межсайтовые сценарные атаки

Вендор

Сообщество свободного программного обеспечения
Oracle Corp.
The CKEditor Team

Наименование ПО

Debian GNU/Linux
Oracle Banking Digital Experience
Drupal
Oracle Banking APIs
CKEditor

Версия ПО

9 (Debian GNU/Linux)
10 (Debian GNU/Linux)
18.1 (Oracle Banking Digital Experience)
18.2 (Oracle Banking Digital Experience)
18.3 (Oracle Banking Digital Experience)
19.1 (Oracle Banking Digital Experience)
19.2 (Oracle Banking Digital Experience)
20.1 (Oracle Banking Digital Experience)
11 (Debian GNU/Linux)
от 9.2 до 9.2.9 (Drupal)
от 9.1 до 9.1.14 (Drupal)
от 8.9 до 8.9.20 (Drupal)
21.1 (Oracle Banking Digital Experience)
от 18.1 до 18.3 включительно (Oracle Banking APIs)
19.1 (Oracle Banking APIs)
19.2 (Oracle Banking APIs)
20.1 (Oracle Banking APIs)
21.1 (Oracle Banking APIs)
до 4.17.0 (CKEditor)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для CKEditor:
https://github.com/ckeditor/ckeditor4/blob/major/CHANGES.md#ckeditor-417
https://github.com/ckeditor/ckeditor4/security/advisories/GHSA-7h26-63m7-qhf2
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2022.html
Для Drupal:
https://www.drupal.org/sa-core-2021-011
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-41165

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 33%
0.00123
Низкий

8.2 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-41165

CVSS3: 8.2
ubuntu
больше 3 лет назад

CKEditor4 is an open source WYSIWYG HTML editor. In affected version a vulnerability has been discovered in the core HTML processing module and may affect all plugins used by CKEditor 4. The vulnerability allowed to inject malformed comments HTML bypassing content sanitization, which could result in executing JavaScript code. It affects all users using the CKEditor 4 at version < 4.17.0. The problem has been recognized and patched. The fix will be available in version 4.17.0.

nvd логотип

CVE-2021-41165

CVSS3: 8.2
nvd
больше 3 лет назад

CKEditor4 is an open source WYSIWYG HTML editor. In affected version a vulnerability has been discovered in the core HTML processing module and may affect all plugins used by CKEditor 4. The vulnerability allowed to inject malformed comments HTML bypassing content sanitization, which could result in executing JavaScript code. It affects all users using the CKEditor 4 at version < 4.17.0. The problem has been recognized and patched. The fix will be available in version 4.17.0.

debian логотип

CVE-2021-41165

CVSS3: 8.2
debian
больше 3 лет назад

CKEditor4 is an open source WYSIWYG HTML editor. In affected version a ...

github логотип

GHSA-7h26-63m7-qhf2

CVSS3: 8.2
github
больше 3 лет назад

HTML comments vulnerability allowing to execute JavaScript code

EPSS

Процентиль: 33%
0.00123
Низкий

8.2 High

CVSS3

7.5 High

CVSS2