原標題：CKEditor編輯庫漏洞曝光，允許未經身份驗證的黑客進行XSS攻擊

據外媒報道，Drupal內容管理系統研究人員近日披露，CKEditor開源WYSIWYG編輯器存在嚴重漏洞，該漏洞允許未經身份驗證的黑客訪問任意跨站點腳本，並進行XSS攻擊。

圖片來源：Pexels

值得注意的是，Drupal已將CKEditor更新至版本4.14，如需利用該版本的兩個漏洞，黑客必須以WYSIWYG或源代碼模式將惡意HTML代碼粘貼到編輯器中，或將CKEditor切換到源代碼模式，粘貼惡意代碼，再切換回所得模式，並使用WebSpellChecker Dialog插件文件預覽內容，發動XSS攻擊。

圖片來源：Pexels

專家建議用戶將Drupal更新到版本8.8.4或8.7.12，並禁用CKEditor模塊以防止潛在攻擊。