CKEditor 4.18.0 已发布,更新内容包括修复针对浏览器的错误,以及完善安全补丁。
CKEditor 4.18.0 为 HTML 处理核心模块和对话框插件提供了重要的安全修复。它还包括在最新版本的 Chrome 中对 Paste From Word 插件进行重要的错误修复。此外,新版本还弃用了生命周期已结束的 WebSpellChecker Dialog 插件。
安全修复
CKEditor 4 HTML 处理核心模块中有潜在的安全漏洞,该漏洞允许注入格式错误的 HTML 以绕过内容清理,这可能导致执行 JavaScript 代码 (CVE-2022-24728)。新版本针对该漏洞提供了修复补丁。
此外,CKEditor 4 团队在标准安全审计期间发现了 CKEditor 4 对话框插件中潜在的正则表达式拒绝服务漏洞。该漏洞导致攻击者滥用对话输入验证器正则表达式,这可能导致性能显着下降 (CVE-2022-24729)。当前版本已修复此漏洞。
官方强烈建议升级至新版本,以避免任何潜在风险。
修复针对浏览器的错误
Chrome 98 引入了一个错误,该错误会导致“从 Word 粘贴”插件中的像素单位计算不正确,从而导致某些功能(如表格边框)的大小无效。此版本通过更新可缓解问题的 convertToPx 方法来修复此问题。