CVE-2025-58064 in CKeditor5
الملخص
بحسب VulDB • 19/06/2026
يُعد CKEditor 5 محرر نصوص غنية (rich-text) حديثًا مبنيًا على JavaScript ويتبع بنية MVC. تحتوي الإصدارات من 46.0.0 إلى 46.0.2 ومن 44.2.0 إلى 45.2.1 من مكتبتَي ckeditor5 وckeditor5-clipboard على ثغرة برمجية تتعلق بتنفيذ الأكواد عبر المواقع (Cross-Site Scripting - XSS). يمكن استغلال هذه الثغرة عن طريق إجراء محدد يقوم به المستخدم، مما يؤدي إلى تنفيذ كود JavaScript غير مصرح به، وذلك إذا تمكن المهاجم من إدراج محتوى ضار داخل المحرر؛ وهو أمر قد يحدث مع تكوين معين جدًا للمحرر. تؤثر هذه الثغرة على التثبيتات التي يستوفي فيها تكوين المحرر أحد المعايير التالية: تم تفعيل مكوّن HTML embed (التضمين)، أو يوجد مكوّن إضافي مخصص يُدخل عنصرًا قابلًا للتحرير حيث يكون RawElement في العرض (view) مفعلًا. تمت معالجة هذه المشكلة في الإصدارات 45.2.2 و46.0.3 من كلٍ من ckeditor5 وckeditor5-clipboard.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.