Уязвимость BDU:2024-01737

Идентификатор: BDU:2024-01737.

Наименование уязвимости: Уязвимость функции предварительного просмотра WYSIWYG-редактора CKEditor, позволяющая нарушителю выполнить произвольный JavaScript-код.

Описание уязвимости: Уязвимость функции предварительного просмотра WYSIWYG-редактора CKEditor существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный JavaScript-код
Уязвимое ПО: Прикладное ПО информационных систем The CKEditor Team CKEditor до 4.24.0-lts |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 07.02.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:P/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://github.com/ckeditor/ckeditor4/security/advisories/GHSA-mw2c-vx6j-mg76.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-24816.

Тип ошибки CWE: CWE-79
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://ckeditor.com/cke4/addon/preview Product
https://github.com/ckeditor/ckeditor4/commit/8ed1a3c93d0ae5f49f4ecff5738ab8a2972194cb
https://github.com/ckeditor/ckeditor4/security/advisories/GHSA-mw2c-vx6j-mg76