CVE-2024-43369 in fieldtype-richtextالمعلومات

الملخص

بحسب VulDB • 22/06/2026

نوع حقل RichText في Ibexa هو نوع حقل يدعم النصوص ذات التنسيق الغني المخزنة بتنسيق XML هيكلي. في الإصدارات من فرع 4.6 السابقة لـ 4.6.10، يقوم المُحقِّق (validator) الخاص بحقل RichText بإدراج `javascript:` و`vbscript:` ضمن القائمة السوداء للروابط لمنع ثغرات XSS. يمكن أن يترك هذا الخيارات الأخرى مفتوحة، ويمكن تجاوز الفحص باستخدام الأحرف الكبيرة. تتطلب استغلال هذه الثغرة صلاحيات تحرير المحتوى لمحتوى RichText، وهو ما يعني عادةً دور المحرر (Editor) أو أعلى. يطبق الإصلاح قائمة بيضاء بدلاً من ذلك، مما يسمح فقط ببروتوكولات الروابط المعتمدة. أصبح الفحص الجديد غير حساس لحالة الأحرف. تحتوي الإصدار 4.6.10 على تصحيح لهذه المشكلة. لا توجد حلول بديلة معروفة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

09/08/2024

إفشاء

16/08/2024

الاعتدال

تمت الموافقة

إدخال

VDB-274823

EPSS

0.00367

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!