CVE-2024-43369 in fieldtype-richtextinformation

Résumé

par VulDB • 31/05/2026

Le type de champ RichText d'Ibexa est un type de champ destiné à prendre en charge le texte riche mis en forme, stocké dans un format XML structuré. Dans les versions de la branche 4.6 antérieures à la 4.6.10, le validateur du type de champ RichText bloque les chaînes `javascript:` et `vbscript:` dans les liens afin de prévenir les failles XSS. Cette approche peut laisser d'autres options ouvertes, et la vérification peut être contournée en utilisant des majuscules. L'exploitation de cette vulnérabilité nécessite des permissions d'édition de contenu pour le contenu RichText, ce qui correspond généralement au rôle Éditeur (Editor) ou à un rôle supérieur. La correction met en place une liste blanche (allowlist) qui n'autorise que les protocoles de lien approuvés. La nouvelle vérification est insensible à la casse. La version 4.6.10 contient un correctif pour ce problème. Aucune solution de contournement connue n'est disponible.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

09/08/2024

Divulgation

16/08/2024

Modérer

accepté

Entrée

VDB-274823

CPE

prêt

EPSS

0.00367

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!