ASA-2018-00077 – TYPO3: Cross-Site Scripting no CKEditor usando area de html


For the English version of this alert, click here.

Allele Security Alert

ASA-2018-00077

Identificador(es)

ASA-2018-00077, TYPO3-CORE-SA-2018-005, CVE-2018-17960

Título

Cross-Site Scripting no CKEditor usando area de html

Fabricante(s)

TYPO3 Association

Produto(s)

TYPO3

Versão(ões) afetada(s)

TYPO3 8.5.0 até 8.7.20 e 9.0.0 até 9.5.1

Versão(ões) corrigida(s)

TYPO3 versões 8.7.21 e 9.5.2

Prova de conceito

Desconhecida

Descrição

Foi descoberto que a biblioteca de terceiros CKEditor é vulnerável a Cross-Site Scripting. Uma conta de usuário de back-end válida é necessária para explorar esta vulnerabilidade.

Detalhes técnicos

O CKEditor 4.11 corrige uma vulnerabilidade XSS no analisador HTML. A vulnerabilidade surgiu do fato de que era possível executar o XSS dentro da área de html do CKEditor após persuadir a vítima a: (i) alternar o CKEditor para a área de html e (ii) colar um código HTML especialmente preparado pelo atacante na área de html do CKEditor e (iii) voltar ao modo WYSIWYG.

Créditos

maxarr, Peter Kraume e Benni Mack (TYPO3 core team)

Referência(s)

TYPO3 9.5.2, 8.7.21 and 7.6.32 security releases published
https://typo3.org/article/typo3-952-8721-and-7632-security-releases-published/

TYPO3-CORE-SA-2018-005: Cross-Site Scripting in CKEditor
https://typo3.org/security/advisory/typo3-core-sa-2018-005/

[SECURITY] Update library CKEditor to 4.11.1
https://github.com/TYPO3/TYPO3.CMS/commit/6959fc7c9cca6ff559682df7ee25a64879de5048

CKEditor 4.11 with emoji dropdown and auto link on typing released
https://ckeditor.com/blog/CKEditor-4.11-with-emoji-dropdown-and-auto-link-on-typing-released/#security-issue-fixed

[TYPO3-announce] Announcing TYPO3 v9.5.2, v8.7.21 and v7.6.32 security releases
http://lists.typo3.org/pipermail/typo3-announce/2018/000435.html

CVE-2018-17960
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17960

CVE-2018-17960
https://nvd.nist.gov/vuln/detail/CVE-2018-17960

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 14 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.