CKEditor v43.1.1 发布亮点:引入安全修复
我们发布 CKEditor 5 v43.1.1 来解决在最近的内部审计中,在剪贴板包中发现的跨站点脚本 (XSS) 漏洞 (CVE-2024-45613)。
CKEditor的最新版本是v43.1.1,它包含一个重要的安全修复程序。我们强烈建议您更新到最新版本,以确保您的应用程序安全。
更新的剪贴板包安全修复
在内部审计期间,CKEditor 5 剪贴板包中发现了一个跨站点脚本 (XSS) 漏洞 (CVE-2024-45613)。此漏洞可能允许在用户操作触发的特定配置下执行未经授权的JavaScript。
此漏洞仅影响具有以下编辑器配置的安装:
1.支持通用 HTML,但具有允许不安全标记的配置
2. HTML 嵌入
此外,在此版本中,我们在部分代码库中实施了进一步的强化措施,以解决理论上的问题,但在实际情况下这些问题都无法被利用。无论如何,这些修复都是主动进行的,目的是提高整体安全性。