CKEditor4 — это HTML-редактор с открытым исходным кодом, работающий по принципу «что видишь, то и получаешь». В плагине CKEditor 4 Code Snippet GeSHi обнаружена потенциальная уязвимость. Уязвимость позволяла проводить отраженную XSS-атаку, эксплуатируя недостаток в библиотеке подсветки синтаксиса GeSHi, размещенной жертвой. Библиотека GeSHi была включена в исходные файлы CKEditor 4 в качестве зависимости поставщика. В конкретном сценарии злоумышленник мог создать вредоносный скрипт, который мог быть выполнен путем отправки запроса в библиотеку GeSHi, размещенную на PHP-веб-сервере. Библиотека GeSHi больше не поддерживается активно. Из-за отсутствия текущей поддержки и обновлений были выявлены потенциальные уязвимости безопасности при ее дальнейшем использовании. Чтобы снизить эти риски и повысить общую безопасность CKEditor 4, мы решили полностью удалить библиотеку GeSHi в качестве зависимости. Это изменение направлено на поддержание безопасной среды и снижение риска любых инцидентов безопасности, связанных с устаревшим или неподдерживаемым программным обеспечением. Исправление будет доступно в версии 4.25.0-lts.