检测

CKEditor < 4.25.0-LTS 多个跨站脚本

medium Web App Scanning 插件 ID 114425

语言:

简介

CKEditor < 4.25.0-LTS 多个跨站脚本

描述

根据其自我报告的版本号,远程主机上运行的 CKEditor 应用程序版本为低于 4.25.0-LTS 的版本或低于 4.25.0-LTS 的 4.22.x 版。因此,该应用程序受到多个跨站脚本漏洞的影响:

- 在 CKEditor 4 Code Snippet GeSHi 插件中。通过利用受害者托管的 GeSHi 语法高亮显示库中的缺陷,此漏洞可导致反射型 XSS 攻击。- 在 CKEditor 4.22 及更高版本中发现一个理论上的漏洞。在攻击者获得了对 https://cke4.ckeditor.com 域的控制权的极不可能的情况下,他们可能会对 CKEditor 4 实例执行攻击。

请注意,扫描程序并未测试这些问题,而是仅依据应用程序自我报告的版本号进行判断。

解决方案

升级到 CKEditor 4.25.0-LTS 或更高版本。

另见

https://ckeditor.com/blog/ckeditor-version-4250-lts-released-with-security-patches/

https://ckeditor.com/cke4/release/CKEditor-4.25.0-LTS

插件详情

严重性: Medium

ID: 114425

类型: remote

发布时间: 2024/9/9

最近更新时间: 2024/9/9

扫描模板: basic, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-43407

CVSS v3

风险因素: Medium

基本分数: 6.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 分数来源: CVE-2024-43407

CVSS v4

风险因素: Medium

Base Score: 5.3

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

CVSS 分数来源: CVE-2024-43407

漏洞信息

CPE: cpe:2.3:a:ckeditor:ckeditor:*:*:*:*:*:*:*:*

易利用性: No known exploits are available

补丁发布日期: 2024/8/21

漏洞发布日期: 2024/8/20

参考资料信息

CVE: CVE-2024-43407, CVE-2024-43411