XSS - Cross-Site Scripting, é uma falha em cibersegurança que, se devidamente explorada, permite a um atacante, entre outras ações, roubar cookies do utilizador ou vítima e proceder a outros ataques mais graves.

O CKEditor é um editor WYSIWYG open-source altamente configurável e popular.

Essencialmente, se um atacante conseguisse criar e editar conteúdo, podia explorar esta falha e convencer os utilizadores a acederem ao WYSIWYG, CKEditor, incluindo administradores do site com acesso privilegiado.

Versões afetadas

8.8.x

8.7.x

Versões corrigidas

8.8.4

8.7.12

Estas já incluem a versão da livraria 4.14, que corrige os problemas

O Drupal 8, principalmente as versões anteriores à gama 8.7.x atingiram o fim de suporte - designado End of Life - e já não receberão atualizações.

Quem não quiser atualizar, de forma a minimizar o risco de ataque deve desabilitar o módulo CKEditor.

Mais uma vez, uma forma de explorar a falha de XSS e que afeta o processador de dados HTML, seria convencer as vítimas a processador código HTML malicioso no editor, tanto em modo WYSIWYG como em código-fonte.

O outro problema afeta um plugin de terceiros, designado por WebSpellChecker Dialog, incluido nos presets Standard e Full do CKEditor 4. O mesmo podia ser explorado convencendo a vítima a mudar do CKEditor para código-fonte, processando código malicioso, e mudar depois de volta ao modo WYSIWYG, daí passando ao modo previsão do conteúdo da página onde a janela de diálogo do plugin WebSpellCheckerand estaria disponível.

Mais informações no site do Drupal: https://www.drupal.org/sa-contrib-2020-007