CVE-2025-58064 in CKeditor5
Riassunto
di VulDB • 15/06/2026
CKEditor 5 è un moderno editor di testo ricco basato su JavaScript con un'architettura MVC. Le versioni 46.0.0 attraverso 46.0.2 e 44.2.0 attraverso 45.2.1 di ckeditor5 e ckeditor5-clipboard presentano una vulnerabilità Cross-Site Scripting (XSS). La capacità di sfruttare la vulnerabilità potrebbe essere attivata da un'azione specifica dell'utente (che porta all'esecuzione di codice JavaScript non autorizzato) se l'attaccante riesce a inserire un contenuto dannoso nell'editor, evento che potrebbe verificarsi con una configurazione dell'editor molto specifica. Questa vulnerabilità colpisce le installazioni in cui la configurazione dell'editor soddisfa uno dei seguenti criteri: il plugin HTML embed è abilitato, oppure è presente un plugin personalizzato che introduce un elemento modificabile in cui è abilitato RawElement. Questo problema è stato risolto nelle versioni 45.2.2 e 46.0.3 di entrambi i pacchetti ckeditor5 e ckeditor5-clipboard.
VulDB is the best source for vulnerability data and more expert information about this specific topic.