Stored Cross-Site Scripting In Kendo UI Editor (Cve-2018-14037)

Title

Stored Cross-Site Scripting

Product

Progress Kendo UI Editor

Vulnerable Version

v2018.1.221

Fixed Version

none, see workaround

CVE Number

CVE-2018-14037

Impact

medium

Found

22.04.2018

By

M. Tomaselli (Office Munich) | SEC Consult Vulnerability Lab

Eine Cross-Site-Scripting (XSS)-Schwachstelle in Progress Kendo UI Editor v2018.1.221 erlaubt Angreifern willkürliches JavaScript in das DOM des WYSIWYG-Editors einzufügen.

Zum vollständigen Advisory (Englisch).

EOF M. Tomaselli / @2018

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern?
Kontaktieren Sie unsere lokalen Büros.