CKEditor жұмысына байланысты Drupal-дегі аса маңызды осалдық түзетілді

Drupal-дің АҚ-мамандары мен әзірлеушілері жуырда қылмыскерлер жақын арада айқындалған Drupalgeddon2 (CVE-2018-7600) аса маңызды осалдығын пайдалана бастағанын ескерткен болатын. Енді CMS үшін CKEditor құрамында айқындалған басқа аса маңызды жөнсіздікке арналған тағы бір кезектен тыс патч жарық көрді.

Осалдықты Drupal әзірлеушілерінің өздері айқындады. Жөнсіздік WYSIWYG HTML редакторы JavaScript негізңнде орнатқан, CMS-мен бірге алдын ала орнатылып жеткізілетін сыртқы CKEditor плагиніне байланысты.

CKEditor авторлары жөнсіздік туралы есепті әлдеқашан шағырды. Олар CKEditor 4.5.11 және одан кейінгі нұсқаларына арналған Enhanced Image плагинінде тега img дұрыс валидациясы жүргізілмегені себепті редактор XSS-осалдығына (cross-site scripting) ұшырағанын айтып отыр.

Шабуыл жасаушылардың багты пайдалана отырып, құрбанның браузерінде еркінHTML- және JavaScript-кодын орындау мен құпия деректерге қолжетімділік алуға, сессияның деректерін ұрлауға, фишинг шабуылын жүзеге асыруға және т.б. мүмкіндіктері болды.

CKEditor әзірлеушілері плагиннің түзетілген нұсқасын (4.9.2) шығарды,бұдан басқа, CMS өзіне де арналған патч жарияланды – Drupal командасы CMS жаңартылған нұсқаларын (8.5.2 мен 8.4.7) ұсынды. Drupal 7.x құрамындағы CKEditor жөнсіздікке ұшырамайды деп хабарланды.