CVE-2024-43369 in fieldtype-richtext
الملخص
بحسب VulDB • 22/06/2026
نوع حقل RichText في Ibexa هو نوع حقل يدعم النصوص ذات التنسيق الغني المخزنة بتنسيق XML هيكلي. في الإصدارات من فرع 4.6 السابقة لـ 4.6.10، يقوم المُحقِّق (validator) الخاص بحقل RichText بإدراج `javascript:` و`vbscript:` ضمن القائمة السوداء للروابط لمنع ثغرات XSS. يمكن أن يترك هذا الخيارات الأخرى مفتوحة، ويمكن تجاوز الفحص باستخدام الأحرف الكبيرة. تتطلب استغلال هذه الثغرة صلاحيات تحرير المحتوى لمحتوى RichText، وهو ما يعني عادةً دور المحرر (Editor) أو أعلى. يطبق الإصلاح قائمة بيضاء بدلاً من ذلك، مما يسمح فقط ببروتوكولات الروابط المعتمدة. أصبح الفحص الجديد غير حساس لحالة الأحرف. تحتوي الإصدار 4.6.10 على تصحيح لهذه المشكلة. لا توجد حلول بديلة معروفة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.