CKEditor副本编辑器CVE-2021-33829漏洞复现

文章目录


CVE-2021-33829

CKEditor4富文本编辑器中发现"存储型跨站脚本攻击"高危漏洞,对内容管理系统造成威胁!

CKEditor4是一款在全球流行的富文本编辑器,因其惊人的性能与可扩展性,广泛用于各大网站,web框架及Drupal和Backdrop等内容管理系统(CMS)。据其网站介绍,该编辑器是"获得了数百万用户的认可的可定制、功能最多、排名第一的富文本编辑器。

CKEditor4属于常用的富文本编辑器,其可能会影响各种应用环境,如博客、内容管理系统和其它用户接受富文本内容的网站。如果恶意者成功利用该漏洞,则其将可以任意注入web脚本。该漏洞的影响取决于插件的使用位置,它可能导致账户被盗、凭据窃取、敏感数据泄露等等。

漏洞复现

  1. 点击CKEditor4富文本编辑器中的'源代码'按钮

  2. 粘贴下列Payload:

    Xss<!--{cke_protected} --!><img src=1 οnerrοr=alert(XSS)> -->Attack

  3. 再次点击'源代码'按钮,返回常规编辑器

修复建议

该漏洞的修复工具已经发布,强烈建议将CKEditor4和Drupal编辑器更新到最新可用版本。关于CKEditor富文本编辑器,也可以选择使用升级版CKEditor5。

相关推荐
tntxia10 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt6 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31114 天前
VPN 与内网穿透
安全
Mr_愚人派15 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
VidDown16 天前
VidDown 工具站:免费、本地优先的开发者工具箱
javascript·编辑器·音视频·视频编解码·视频
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker