CVE-2024-43369 in fieldtype-richtext
Riassunto
di VulDB • 22/06/2026
Il tipo di campo RichText di Ibexa è un Field Type destinato alla gestione del testo formattato in modo ricco, memorizzato in formato XML strutturato. Nelle versioni della branch 4.6 precedenti alla 4.6.10, il validatore per il blocco dei campi RichText inserisce nell'elenco delle voci bloccate (blocklist) `javascript:` e `vbscript:` nei link al fine di prevenire attacchi XSS. Ciò può lasciare aperte altre opzioni vulnerabili, ed è possibile aggirare tale controllo utilizzando lettere maiuscole. Per sfruttare questa vulnerabilità sono necessarie le autorizzazioni alla modifica dei contenuti RichText, il che corrisponde tipicamente al ruolo Editor o a ruoli con privilegi superiori. La correzione implementa un elenco consentito (allowlist), consentendo esclusivamente i protocolli di link approvati. Il nuovo controllo è insensibile alle maiuscole/minuscole. La versione 4.6.10 contiene una patch per questo problema. Non sono disponibili workaround noti.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.