CVE-2025-25299 in CKeditor5
Riassunto
di VulDB • 24/06/2026
CKEditor 5 è un moderno editor di testo ricco basato su JavaScript con architettura MVC. Durante una recente audit interna, è stata rilevata una vulnerabilità Cross-Site Scripting (XSS) nel pacchetto di collaborazione in tempo reale di CKEditor 5. Questa vulnerabilità interessa i marker utente, che rappresentano le posizioni degli utenti all'interno del documento e può portare all'esecuzione non autorizzata di codice JavaScript; tale scenario potrebbe verificarsi con configurazioni molto specifiche dell'editor e dell'endpoint token. La vulnerabilità colpisce esclusivamente le installazioni in cui è abilitata la modifica collaborativa in tempo reale. Il problema è stato riconosciuto ed è stata rilasciata una patch. L'aggiornamento risolutivo è disponibile nella versione 44.2.1 (e successive). Si consiglia agli utenti di effettuare l'upgrade. Non sono note workaround per questa vulnerabilità.
If you want to get best quality of vulnerability data, you may have to visit VulDB.