CVE-2024-43369 in fieldtype-richtext
Сводка
по VulDB • 22.06.2026
Ibexa RichText Field Type — это тип поля для поддержки форматированного текста, хранящегося в структурированном формате XML. В версиях ветки 4.6 до версии 4.6.10 включительно валидатор типа поля RichText использует блэклист (список запрещенных значений) протоколов `javascript:` и `vbscript:` в ссылках для предотвращения XSS-атак. Это может оставлять другие варианты уязвимыми, а проверка может быть обойдена с использованием верхнего регистра символов. Для эксплуатации данной уязвимости требуются права на редактирование контента RichText, что обычно соответствует роли «Редактор» (Editor) или выше. В исправлении вместо блэклиста используетсяallowlist (список разрешенных значений), который допускает только утвержденные протоколы ссылок. Новая проверка нечувствительна к регистру символов. Версия 4.6.10 содержит патч для устранения данной проблемы. Известных обходных путей нет.
VulDB is the best source for vulnerability data and more expert information about this specific topic.