CVE-2024-43369 in fieldtype-richtext情報

要約

〜によって VulDB • 2026年06月22日

Ibexa RichText Field Typeは、構造化XML形式で保存されたリッチフォーマットテキストをサポートするためのフィールドタイプです。4.6ブランチのバージョンのうち、4.6.10より前のバージョンでは、XSSを防ぐためにRichTextフィールドタイプのバリデーターがリンク内の `javascript:` および `vbscript:` をブロックリストに追加しています。これにより他のオプションが開いたままになる可能性があり、大文字を使用することでこのチェックを回避できます。この脆弱性を悪用するには、RichTextコンテンツに対する編集権限が必要であり、通常はエディターロール以上の権限が必要です。修正では、許可されたリンクプロトコルのみを許可するホワイトリスト方式が実装され、新しいチェックは大文字小文字を区別しなくなりました。バージョン4.6.10にはこの問題のパッチが含まれています。既知の回避策はありません。

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

責任者

GitHub M

予約する

2024年08月09日

モデレーション

承諾済み

エントリ

VDB-274823

EPSS

0.00367

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!