Drupаl, le système de gestion de contenu Web (CMS) largement utilisé, a publié des mises à jour de sécurité en raison de vulnérabilités dans CKEditor, un éditeur de texte tiers intégré à Drupаl.

Le projet Drupal utilise la bibliothèque CKEditor pour l'édition WYSIWYG qui s'agit lui-même également d'un éditeur open source utilisé par Microsoft, Siemens, Volvo, Disney, Deloitte et d'innombrables autres orgаnizаtions, et selon les statistiques, il a été téléchargé plus de 30 millions de fois. Drupal même, alimente plus d'un million de sites web et possède un énorme potentiel de croissance. Ce qui élargit la surface de l'exploitation de ces vulnérabilités.

Deux vulnérabilités XSS (cross-site scripting) référencées sous les noms CVE-2021-41165 et CVE-2021-41164, qui sont jugées moyennement critiques par Drupаl, pourraient avoir un impact grave puisque CKEditor est incorporé dans de nombreuses applications en ligne.

Drupal a déclaré qu’une personne qui peut créer ou modifier du contenu (même sans avoir accès à CKEditor lui-même) peut être en mesure d'exploiter une ou plusieurs vulnérabilités de type Cross-Site Scripting (XSS) pour cibler les utilisateurs ayant accès à l'éditeur WYSIWYG, y compris les administrateurs de sites ayant un accès privilégié.

La première vulnérabilité a été découverte dans le module Advanced Content Filter (ACF) et peut affecter tous les plugins utilisés par CKEditor 4, la seconde a été découverte dans le module de traitement HTML de base et peut affecter tous les plugins utilisés par CKEditor4. Ces vulnérabilités peuvent permettre l'injection d'un HTML malformé pour contourner l'assainissement du contenu, ce qui pourrait entraîner l'exécution de code JavaScript. Elles affectent tous les utilisateurs de CKEditor 4 dont la version est antérieur à 4.17.0.

CKEditor a publié une mise à jour de sécurité pour la version 4.17.0, ainsi qu'un correctif pour ces vulnérabilités. Il est également conseillé aux utilisateurs de Drupal 9.2 de mettre à jour vers Drupal 9.2.9, aux utilisateurs de Drupal 9.1 de mettre à jour vers Drupal 9.1.14, et aux utilisateurs de Drupal 8.9 de mettre à jour vers Drupal 8.9.20 afin de se protéger contre les risques potentiels.