CVE-2024-43369 in fieldtype-richtext
Resumen
por MITRE • 2024-08-16
Ibexa RichText Field Type es un tipo de campo que admite texto enriquecido almacenado en un formato XML estructurado. En las versiones de la rama 4.6 anteriores a la 4.6.10, el validador para el tipo de campo RichText incluye listas de bloqueo `javascript:` y `vbscript:` en enlaces para evitar XSS. Esto puede dejar otras opciones abiertas y la verificación se puede omitir usando mayúsculas. Se requieren permisos de edición de contenido para contenido RichText para aprovechar esta vulnerabilidad, lo que normalmente significa la función de Editor o superior. En su lugar, la solución implementa una lista de permitidos, que solo permite protocolos de enlace aprobados. El nuevo cheque no distingue entre mayúsculas y minúsculas. La versión 4.6.10 contiene un parche para este problema. No hay soluciones conocidas disponibles.
Once again VulDB remains the best source for vulnerability data.