文章目录
CVE-2021-33829
CKEditor4富文本编辑器中发现"存储型跨站脚本攻击"高危漏洞,对内容管理系统造成威胁!
CKEditor4是一款在全球流行的富文本编辑器,因其惊人的性能与可扩展性,广泛用于各大网站,web框架及Drupal和Backdrop等内容管理系统(CMS)。据其网站介绍,该编辑器是"获得了数百万用户的认可的可定制、功能最多、排名第一的富文本编辑器。
CKEditor4属于常用的富文本编辑器,其可能会影响各种应用环境,如博客、内容管理系统和其它用户接受富文本内容的网站。如果恶意者成功利用该漏洞,则其将可以任意注入web脚本。该漏洞的影响取决于插件的使用位置,它可能导致账户被盗、凭据窃取、敏感数据泄露等等。
漏洞复现
-
点击CKEditor4富文本编辑器中的'源代码'按钮
-
粘贴下列Payload:
Xss<!--{cke_protected} --!><img src=1 οnerrοr=alert(
XSS)> -->Attack -
再次点击'源代码'按钮,返回常规编辑器
修复建议
该漏洞的修复工具已经发布,强烈建议将CKEditor4和Drupal编辑器更新到最新可用版本。关于CKEditor富文本编辑器,也可以选择使用升级版CKEditor5。