bezpečnost

Drupal 8.9.16/9.1.9 a Backdrop 1.19.1 řeší zranitelnost CKEditoru

27.5.2021 Backdrop Drupal

V úterý vydal Drupal Security Team oznámení, že ve středu bude následovat důležitá bezpečnostní aktualizace, kterou byste neměli odkládat. Tak se následně večer po několikahodinovém čekání oproti anoncovanému termínu i stalo. Aktualizaci přinesl i Backdrop.

O co šlo? Zranitelnost CKEditoru, který oba redakční systémy využívají ve svém administračním rozhraní umožňovala přihlášeným uživatelům (anonymové obvykle editor k dispozici nemají) provést XSS útok. Závažnost byla označena za středně kritickou.

Řešením je provést co nejrychlejší aktualizaci jádra Drupalu, přičemž vychází oprava pro obě podporované nové řady, osmičkovou a devítkovou. V případě Drupalu 7, kdy CKEditor není v jádře a obsluhujete jej třeba pomocí modulu WYSIWYG API, je doporučeno aktualizovat knihovny editoru.

Zareagoval i Backdrop, který vydal aktualizaci svého forku Drupalu, protože ačkoli vychází z Drupalu 7, CKEditor je v něm obsažen také.

Další informace:

Jan Polzer

Tvůrce webů specializující se na Drupal, WordPress a Symfony. Autor českých knih o Drupalu, Acquia Certified Developer a Site Builder.

- Můj web


TwitterFacebookLinkedInYouTube

Řekněte o článku přátelům:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin