Drupal cập nhật CKEditor vá lỗ hổng XSS

30/07/2014
79
711 bài viết
Drupal cập nhật CKEditor vá lỗ hổng XSS
Các nhà phát triển Drupal vừa phát hành các bản cập nhật cho phiên bản 8.8.x và 8.7.x, xử lý hai lỗ hổng ảnh hưởng đến thư viện CKEditor.
drupal.jpg

CKEditor là một trình soạn thảo WYSIWYG mã nguồn mở phổ biến tùy biến cao và có hàng trăm tính năng. Drupal quyết định cập nhật CKEditor lên phiên bản 4.14, vá hai lỗ hổng XSS ảnh hưởng đến các phiên bản trước của thư viện.

Drupal cho hay khả năng tấn công có thể xảy ra nếu người dùng cấu hình Drupal sử dụng WYSIWYG CKEditor cho trang web. Trong trường hợp nhiều người chỉnh sửa nội dung, lỗ hổng có thể bị lợi dụng để tiến hành các cuộc tấn công XSS vào người dùng khác, bao gồm cả quản trị website có nhiều quyền truy cập.

Người dùng được khuyến cáo cập nhật Drupal lên các phiên bản 8.8.4 hoặc 8.7.12. Ngoài ra, người dùng có thể ngăn chặn các cuộc tấn công bằng cách vô hiệu hóa mô-đun CKEditor.

Tuy Drupal 7 không bị ảnh hưởng, nhưng các quản trị website vẫn nên cập nhật CKEditor lên phiên bản 4.14 trở lên.

Theo thông báo phát hành CKEditor 4.14, các kịch bản khai thác đều ‘khó xảy ra’. Lấy ví dụ lỗ hổng ảnh hưởng đến bộ xử lý dữ liệu HTML. Để khai thác, kẻ tấn công phải thuyết phục người dùng mục tiêu dán mã HTML độc hại vào trình chỉnh sửa, ở chế độ WYSIWYG hoặc chế độ nguồn.

Lỗ hổng thứ hai ảnh hưởng đến plugin WebSpellChecker của bên thứ ba. Để khai thác tấn công XSS, hacker cần thuyết phục nạn nhân chuyển CKEditor sang chế độ nguồn, dán mã độc, quay lại chế độ WYSIWYG và xem trước nội dung trên trang có tệp plugin Dialog WebSpellChecker.

Đây cũng là lần đầu tiên Drupal phát hành bản vá trong năm nay.

Nguồn: Security Week
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên