速修复！开源编辑器CKEditor 中存在两个严重XSS漏洞，影响Drupal 和其它下游应用

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

CKEditor 开源编辑器的下载量已超过3000万次，用于多家组织机构中如微软、西门子、沃尔沃、迪斯尼、德勤等等。Drupal 本身为100多万个网站提供支持，其下载量十分庞大。

Drupal 安全团队的志愿者成员兼 Morris 动物基金会的信息系统高级主管 Greg Knaddison 指出，“所有使用 CKEditor 的人都应该更新该库，漏洞影响很多 Drupal 网站以及很多其它各种包括CMS在内的站点。”

这些XSS 漏洞可导致攻击者“注入畸形的 HTML 绕过内容清理机制，从而导致 JavaScript 代码被执行。”开发人员 William Bowling 发现这些漏洞位于HTML 核心处理模块中，安全研究员 Maurice Dauer 发现还存在于高阶的内容过滤器模块中。

Drupal 表示，如果用户将Drupal 配置为允许 CKEditor 库进行 WYSIWYG 编辑，则易受攻击。Drupal 在11月17日发布的安全公告中指出，“能够创建或编辑内容（即使无需访问 CKEditor 本身）的攻击者或许能够利用一个或多个漏洞，攻击能够访问 WSYIWYG CKEditor的用户，包括具有特权的网站管理员。”

鉴于安全威胁的级别，美国网络安全和基础设施安全局 (CISA) 甚至发布了关于应用相关更新的公告提醒。

CKSource 在11月17日发布了版本4.17.0 和热补丁修复了这两个XSS漏洞。4.17.0之前的版本均受影响。

建议 Drupal 9.2 的用户更新至 Drupal 9.2.9，Drupal 9.1 的用户更新至 Drupal 9.1.14，而 Drupal 8.9 的用户应该更新至 Drupal 8.9.20。Drupal 8 的更新是最后发布，它和早于 9.1.x的版本均已达到生命周期。

Knaddison 指出，用户应更新至 Drupal 8，“并且尽快升级至Drupal 9”。他还表示，“我们在本次发布周期管理了降级和向后兼容问题，因此更新过程很简单。”

尽管 Drupal 7 并未包含 CKEditor 模块，但 Knaddison 表示 “如果站点通过专用模块使用了 CKEditor则可能受影响。对于在安装过程中需要站点管理员需要下载库代码（如 CKEditor）的模块，安全团队并未发布安全公告。“

Knaddison 对发现报告的研究员以及“报告该漏洞并持续更进的CKSource 团队的 Jacek Bogdanski“表示感谢，盛赞他们使其在一定的时间范围内完成修复并推出热补丁。

本文提到的漏洞和Securitum 公司的研究员 Michal Bentkowski 在2020年3月找到的另外一个XSS漏洞存在关联。