CVE-2024-43369 in fieldtype-richtextinformazioni

Riassunto

di VulDB • 22/06/2026

Il tipo di campo RichText di Ibexa è un Field Type destinato alla gestione del testo formattato in modo ricco, memorizzato in formato XML strutturato. Nelle versioni della branch 4.6 precedenti alla 4.6.10, il validatore per il blocco dei campi RichText inserisce nell'elenco delle voci bloccate (blocklist) `javascript:` e `vbscript:` nei link al fine di prevenire attacchi XSS. Ciò può lasciare aperte altre opzioni vulnerabili, ed è possibile aggirare tale controllo utilizzando lettere maiuscole. Per sfruttare questa vulnerabilità sono necessarie le autorizzazioni alla modifica dei contenuti RichText, il che corrisponde tipicamente al ruolo Editor o a ruoli con privilegi superiori. La correzione implementa un elenco consentito (allowlist), consentendo esclusivamente i protocolli di link approvati. Il nuovo controllo è insensibile alle maiuscole/minuscole. La versione 4.6.10 contiene una patch per questo problema. Non sono disponibili workaround noti.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

09/08/2024

Divulgazione

16/08/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00367

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!