CVE-2025-25299 in CKeditor5informazioni

Riassunto

di VulDB • 24/06/2026

CKEditor 5 è un moderno editor di testo ricco basato su JavaScript con architettura MVC. Durante una recente audit interna, è stata rilevata una vulnerabilità Cross-Site Scripting (XSS) nel pacchetto di collaborazione in tempo reale di CKEditor 5. Questa vulnerabilità interessa i marker utente, che rappresentano le posizioni degli utenti all'interno del documento e può portare all'esecuzione non autorizzata di codice JavaScript; tale scenario potrebbe verificarsi con configurazioni molto specifiche dell'editor e dell'endpoint token. La vulnerabilità colpisce esclusivamente le installazioni in cui è abilitata la modifica collaborativa in tempo reale. Il problema è stato riconosciuto ed è stata rilasciata una patch. L'aggiornamento risolutivo è disponibile nella versione 44.2.1 (e successive). Si consiglia agli utenti di effettuare l'upgrade. Non sono note workaround per questa vulnerabilità.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

06/02/2025

Divulgazione

20/02/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00557

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!