توسعهدهندگان سیستم مدیریت محتوای دروپال اعلام کردند که بهروزرسانیهای نسخههای ۸٫۸٫x و ۸٫۷٫x چند آسیبپذیری را که کتابخانهی CKEditor را تحت تأثیر قرار میدادند، رفع میکنند. CKEditor یک ویرایشگر متنباز محبوب WYSIWYG است که بسیار قابل تنظیم است و صدها ویژگی دارد. دروپال از CKEditor استفاده میکند و تصمیم گرفته است تا آن را به نسخهی ۴٫۱۴ بهروزرسانی کند. این نسخه دو آسیبپذیری XSS را که نسخههای جدید این کتابخانه را تحت تأثیر قرار میدادند، وصله میکند.
دروپال در مشاورهنامهی خود بیان کرد که در صورتیکه دروپال برای استفاده از WYSIWYG CKEditor برای کاربران وبگاه پیکربندی شده باشد، ممکن است این آسیبپذیری ایجاد شوند. هنگامی که افراد مختلف میتوانند محتوا را ویرایش کنند، از این آسیبپذیری میتوان برای انجام حملات XSS علیه سایر افراد ازجمله مدیران وبگاه با دسترسی بیشتر استفاده کرد.
به کاربران توصیه شده است که دروپال را به نسخههای ۸٫۸٫۴ یا ۸٫۷٫۱۲ بهروزرسانی کنند. با غیرفعال کردن ماژول CKEditor میتوان از حملات احتمالی جلوگیری کرد.
دروپال نسخهی ۷ تحت تأثیر قرار نگرفته است، اما مدیران وبگاهی که از این نسخه استفاده میکنند باید اطمینان حاصل کنند که CKEditor به نسخهی ۴٫۱۴ یا نسخههای بالاتر بهروزرسانی شده است. توصیف دروپال از این آسیبپذیریها نشان میدهد که آنها میتوانند یک خطر جدی ایجاد کنند و بحرانی ارزیابی میشوند.
CKEditor نسخهی ۴٫۱۴ همچنین نشان میدهد که بهرهبرداری از این آسیبپذیریها شامل سناریوهای بعید یا بسیار بعید است. بهعنوان مثال یکی از این آسیبپذیریها پردازشگر دادهی HTML را تحت تأثیر قرار میدهد. برای بهرهبرداری از آن، یک مهاجم باید کاربر هدف را متقاعد کند تا کد HTML مخرب را در ویرایشگر و در حالت WYSIWYG یا حالت منبع بنویسد.
آسیبپذیری دوم یک افزونهی شخص ثالث به نام WebSpellChecker Dialog را تحت تأثیر قرار میدهد. یک مهاجم برای بهرهبرداری از آن برای انجام حملات XSS، باید قربانی را متقاعد کند تا به حالت CKEditor یا حالت منبع تغییرحالت دهد، کد مخرب را بنویسد و به حالت WYSIWYG بازگردد و محتوا را در صفحهای که فایلهای افزونهی WebSpellChecker Dialog در دسترس هستند، نمایش دهد. این اولین وصلهی منتشرشده توسط توسعهدهندگان دروپال در سال جاری است و در سال ۲۰۱۹ میلادی آنها هفت سری بهروزرسانی امنیتی در ژانویه، فوریه، مارس، آوریل، مِه، جولای و دسامبر منتشر کردند. بااینکه دروپال به اندازهی وردپرس هدف قرار نگرفته است، اما برخی از این آسیبپذیریهایی که در سالهای گذشته کشف شدند، در برخی نقاط برای سرقت وبگاهها مورد بهرهبرداری قرار گرفتند.