exploitDog

GHSA-rgx6-rjj4-c388

Опубликовано: 21 июн. 2021

Источник: github

Github: Прошло ревью

CVSS3: 6.1

Описание

ckeditor4 vulnerable to cross-site scripting

A cross-site scripting (XSS) vulnerability in the HTML Data Processor in CKEditor 4 4.14.0 through 4.16.x before 4.16.1 allows remote attackers to inject executable JavaScript code through a crafted comment because --!> is mishandled.

Ссылки

Пакеты

Наименование

ckeditor4

npm

Затронутые версииВерсия исправления

>= 4.14.0, < 4.16.1

4.16.1

Наименование

drupal/core

composer

Затронутые версииВерсия исправления

>= 7.0.0, < 7.80

7.80

Наименование

drupal/core

composer

Затронутые версииВерсия исправления

>= 8.0.0, < 8.9.16

8.9.16

Наименование

drupal/core

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.0.14

9.0.14

Наименование

drupal/core

composer

Затронутые версииВерсия исправления

>= 9.1.0, < 9.1.9

9.1.9

Наименование

drupal/drupal

composer

Затронутые версииВерсия исправления

>= 7.0.0, < 7.80

7.80

Наименование

drupal/drupal

composer

Затронутые версииВерсия исправления

>= 8.0.0, < 8.9.16

8.9.16

Наименование

drupal/drupal

composer

Затронутые версииВерсия исправления

>= 9.0.0, < 9.0.14

9.0.14

Наименование

drupal/drupal

composer

Затронутые версииВерсия исправления

>= 9.1.0, < 9.1.9

9.1.9

EPSS

Процентиль: 79%

0.01371

Низкий

6.1 Medium

CVSS3

CVE ID

Дефекты

CWE-79

Связанные уязвимости

CVE-2021-33829

CVSS3: 6.1

ubuntu

около 4 лет назад

A cross-site scripting (XSS) vulnerability in the HTML Data Processor in CKEditor 4 4.14.0 through 4.16.x before 4.16.1 allows remote attackers to inject executable JavaScript code through a crafted comment because --!> is mishandled.

CVE-2021-33829

CVSS3: 6.1

nvd

около 4 лет назад

A cross-site scripting (XSS) vulnerability in the HTML Data Processor in CKEditor 4 4.14.0 through 4.16.x before 4.16.1 allows remote attackers to inject executable JavaScript code through a crafted comment because --!> is mishandled.

CVE-2021-33829

CVSS3: 6.1

debian

около 4 лет назад

A cross-site scripting (XSS) vulnerability in the HTML Data Processor ...

BDU:2021-04887

CVSS3: 6.1

fstec

около 4 лет назад

Уязвимость WYSIWYG-редактора CKEditor, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю оказать воздействие на целостность данных

EPSS

Процентиль: 79%

0.01371

Низкий

6.1 Medium

CVSS3

CVE ID

Дефекты

CWE-79