CVE-2024-43369 in fieldtype-richtextinformación

Resumen

por MITRE • 2024-08-16

Ibexa RichText Field Type es un tipo de campo que admite texto enriquecido almacenado en un formato XML estructurado. En las versiones de la rama 4.6 anteriores a la 4.6.10, el validador para el tipo de campo RichText incluye listas de bloqueo `javascript:` y `vbscript:` en enlaces para evitar XSS. Esto puede dejar otras opciones abiertas y la verificación se puede omitir usando mayúsculas. Se requieren permisos de edición de contenido para contenido RichText para aprovechar esta vulnerabilidad, lo que normalmente significa la función de Editor o superior. En su lugar, la solución implementa una lista de permitidos, que solo permite protocolos de enlace aprobados. El nuevo cheque no distingue entre mayúsculas y minúsculas. La versión 4.6.10 contiene un parche para este problema. No hay soluciones conocidas disponibles.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2024-08-09

Divulgación

2024-08-16

Moderación

aceptado

Artículo

VDB-274823

CPE

listo

EPSS

0.00367

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!