CVE-2024-43369 in fieldtype-richtext정보

요약

\~에 의해 VulDB • 2026. 06. 21.

Ibexa RichText Field Type는 구조화된 XML 형식으로 저장된 리치 서식 텍스트를 지원하기 위한 필드 유형입니다. 4.6.10 이전의 4.6 브랜치 버전에서 RichText 필드 유형의 블록리스트는 XSS를 방지하기 위해 링크에서 `javascript:` 및 `vbscript:`를 차단합니다. 이로 인해 다른 옵션이 열려 있을 수 있으며, 대문자를 사용하여 해당 검사를 우회할 수 있습니다. 이 취약점을 악용하려면 RichText 콘텐츠에 대한 콘텐츠 편집 권한이 필요하며, 이는 일반적으로 편집자(Editor) 역할 이상을 의미합니다. 수정 사항에서는 승인된 링크 프로토콜만 허용하는 허용리스트(allowlist)를 구현하며, 새로운 검사는 대소문자를 구분하지 않습니다. 버전 4.6.10에는 이 문제에 대한 패치가 포함되어 있습니다. 알려진 우회 방법은 없습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

GitHub M

예약하다

2024. 08. 09.

모더레이션

수락

항목

VDB-274823

EPSS

0.00367

출처

Do you know our Splunk app?

Download it now for free!