一、 漏洞 CVE-2024-24815 基础信息
漏洞标题
CKEditor 4 跨站脚本(XSS)漏洞是由于检测 CDATA 错误导致的。
来源:AIGC 神龙大模型
漏洞描述信息
CKEditor 4是一个开源的所见即所得HTML编辑器。在CKEditor 4的4.24.0-lts版本之前,核心HTML解析模块中发现了一个跨站脚本漏洞。它可能影响所有启用全页编辑模式或在高级内容过滤配置(默认为`script`和`style`元素)中启用CDATA元素的所有编辑器实例。漏洞允许攻击者注入格式错误的HTML内容,从而绕过高级内容过滤机制,可能导致执行JavaScript代码。攻击者可以滥用故障的CDATA内容检测,并利用它来准备针对编辑器的故意攻击。修复已包含在4.24.0-lts版本中。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
CKEditor4 Cross-site scripting (XSS) vulnerability caused by incorrect CDATA detection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CKEditor4 is an open source what-you-see-is-what-you-get HTML editor. A cross-site scripting vulnerability has been discovered in the core HTML parsing module in versions of CKEditor4 prior to 4.24.0-lts. It may affect all editor instances that enabled full-page editing mode or enabled CDATA elements in Advanced Content Filtering configuration (defaults to `script` and `style` elements). The vulnerability allows attackers to inject malformed HTML content bypassing Advanced Content Filtering mechanism, which could result in executing JavaScript code. An attacker could abuse faulty CDATA content detection and use it to prepare an intentional attack on the editor. A fix is available in version 4.24.0-lts.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
CKEditor 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CKEditor是一套开源的、基于网页的文字编辑器。 CKEditor4 4.24.0-lts之前版本存在跨站脚本漏洞,该漏洞源于存在跨站脚本漏洞,允许攻击者绕过高级内容过滤机制注入格式错误的HTML内容,可能导致执行JavaScript代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-24815 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-24815 的情报信息