CVE-2024-43369 in fieldtype-richtextИнформация

Сводка

по VulDB • 22.06.2026

Ibexa RichText Field Type — это тип поля для поддержки форматированного текста, хранящегося в структурированном формате XML. В версиях ветки 4.6 до версии 4.6.10 включительно валидатор типа поля RichText использует блэклист (список запрещенных значений) протоколов `javascript:` и `vbscript:` в ссылках для предотвращения XSS-атак. Это может оставлять другие варианты уязвимыми, а проверка может быть обойдена с использованием верхнего регистра символов. Для эксплуатации данной уязвимости требуются права на редактирование контента RichText, что обычно соответствует роли «Редактор» (Editor) или выше. В исправлении вместо блэклиста используетсяallowlist (список разрешенных значений), который допускает только утвержденные протоколы ссылок. Новая проверка нечувствительна к регистру символов. Версия 4.6.10 содержит патч для устранения данной проблемы. Известных обходных путей нет.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

09.08.2024

Раскрытие

16.08.2024

Модерация

принято

Вход

VDB-274823

EPSS

0.00367

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!