VDB
CVE-2024-24815
CVE-2024-24815
PUBLISHED
In Drupal existiert eine Cross-Site Scripting Schwachstelle. HTML und Script-Eingaben werden in CKEditor nicht ordnungsgemäß überprüft, bevor sie an den Benutzer zurückgegeben werden. Ein entfernter, authentifiziert Angreifer kann durch Ausnutzung dieser Schwachstelle beliebigen HTML- und Script-Code durch den Browser des Benutzers im Kontext der betroffenen Seite ausführen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich.
EPSS 0.17% · 37.7th percentile
Risk Scores
EPSS Score
0.17%
37.7th percentile
Affected Products
| Vendor | Product | Versions |
|---|---|---|
| SUSE | SUSE openSUSE | |
| Open Source | Open Source Drupal CKEditor <1.0.1 |
Timeline
- Jan 21, 1970 Security Advisory
- Feb 7, 2024 CVE Published
- Feb 7, 2024 PoC Published
- Feb 8, 2024 EPSS Score
- Feb 11, 2024 PoC Published
- Mar 6, 2024 EPSS Score
- Apr 30, 2024 EPSS Score
- May 27, 2024 EPSS Score
- Jun 23, 2024 EPSS Score
- Jul 20, 2024 EPSS Score
- Sep 13, 2024 EPSS Score
- Oct 4, 2024 Coalition ESS Score
References
- https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-0400.json advisory
- https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-0400 advisory
- https://www.drupal.org/sa-contrib-2024-009 advisory
- https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/message/LTZL2Q6MD2MZXWLTDIWGVIWV5USTFGZF/ advisory
- https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LTZL2Q6MD2MZXWLTDIWGVIWV5USTFGZF/ advisory
- https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/ZXNT2JPQVYWDQRDN2YJ7KJCRBY5QEJQW/ advisory