|
|
发表于 2020-3-31 11:24:44
|
显示全部楼层
|阅读模式
|北京市 中国石油大学(北京校区)
据外媒报道,Drupal内容治理系统研讨职员克日表露,CKEditor开源WYSIWYG编辑器存在严重缝隙,该缝隙答应未经身份考证的黑客拜候肆意跨站点剧本,并停止XSS进犯。
图片来历:Pexels</img>
值得留意的是,Drupal已将CKEditor更新至版本4.14,如需操纵该版本的两个缝隙,黑客必须以WYSIWYG或源代码形式将恶意HTML代码粘贴到编辑器中,或将CKEditor切换到源代码形式,粘贴恶意代码,再切换回所得形式,并利用WebSpellChecker Dialog插件文件预览内容,策动XSS进犯。
图片来历:Pexels</img>
专家倡议用户将Drupal更新到版本8.8.4或8.7.12,并禁用CKEditor模块以避免潜伏进犯。 |
上一篇:小智小慧一起读|《灰尘的旅行》下一篇:北美食品饮料包装和加工行业新标杆ProFoodTech
|
/1 
