Hallo zusammen,

wir setzen bei uns die LimeSurvey Community Edition (Version 3.27.19+210928) ein.
Jetzt hat ein scannen des Systems ergeben, das bei Limesurvey der CKEditor 4.16.2 eingesetzt wird, welcher Sicherheitslücken aufweist.
Es gibt vom CKEditor bereits die Version 4.17.1, wo die Sicherheitslücke geschlossen worden ist.

Kann ich den CKEditor im Ordner /assets/packages/ckeditor selbst austauschen?
Wenn ja, gibt es was zu beachten?
Wenn nein, kann man vielleicht eine neuere Version in einem der nächsten Updates von Limesurvey einbinden?

Ich hatte testweise die aktuelle Version von Limesurvey (3.27.27) runtergeladen und entpackt. Aber auch hier ist noch die Version CKEditor 4.16.2 enthalten.

Vielen Dank im voraus und viele Grüße
Thomas

Hallo, Thomas,
zunächst sei gesagt, dass wir hier, die Benutzer von LimeSurvey, die versuchen anderen Benutzern zu helfen, nicht die richtigen Ansprechpartner sind.
Da sind eher die Entwickler gefragt.

Aber.
Ich habe mich ein wenig schlau gemacht.
Du sagst, Ihr setzt 3.27.19 vom 28.9.2021 ein, in welcher der CKEditor 4.16.2. sein Werk tut.
Diese Version 4.16.2. ist am 12.8.2021 veröffentlicht worden.
Die Implementierung in LimeSurvey war also sehr kurz danach .

4.17.1. wurde am 17.11.2021 veröffentlicht. Daher würde ich davon ausgehen, dass dieses Release ebenfalls zeitnah in LimeSurvey erscheinen wird.
Und 3.27.27. ist vom 29.11.2021. Das wäre aber wohl sehr optimistisch gewesen.

Und wenn ich mir die Changelogs anschaue finde ich in mindestens jedem zweiten neuen Release Security fixes.

Gut, dies ist das eine, was Dir aber wirklich eher die LimeSurvey-Leute sagen können.

CKEditor austauschen?
Keine Ahnung, in einer Testinstallation ausprobieren.
Dabei sind dann die LimeSurvey-spezifischen Menueeinträge zu berücksichtigen, z.B. plugin "Createlimereplacementfields".
Und der KCFinder muss auch richtig angeschlossen werden.

Mehr kann ich dazu nicht sagen

Viele Grüße
Joffm

Kurzfristige Lösung, wenn ihr euch wegen dem Sicherheitsproblem in CKEditor 4.16.2 grosse Sorgen macht: Auf globaler Eben den WYSIWYG-Editor erstmal ausschalten.

Dann würde ich auch noch einen Bug-Report machen, um sicher zu stellen, dass die Entwickler das mitbekommen. Ich denke, sie beobachten das, aber ein Hinweis kann sicher nicht schaden.

Ansonsten wie Joffm. Es dauert im Normalfall etwas, bis solche Updates für externen Skripte es in einen neuen LS-Release schaffen. Bin ehrlich gesagt überrascht, dass die Vorgängerversion so schnell eingeflegt wurde, wie Joffm recherchiert hat.

Hallo zusammen,

vielen Dank für eure Antworten. Ich werde auf jeden Fall noch einen Bug-Report aufmachen, damit es schon mal adressiert ist.

Ich habe eben schon mal geschaut, es aber auf Anhieb nicht gefunden... Wo kann man den Editor denn auf globaler Ebene ausstellen?
Geht das über das Webinterface oder muss ich es auf der Command-Line machen?

Viele Grüße
Thomas

Geht natürlich im Webinterface als Superadmin in den globalen Einstellungen.

Configuration --> Global Settings --> Default HTML editor mode: --> HTML Source

Ich weiss jetzt aber nicht, ob das der User auf der User-Ebene dann überschreiben kann. Früher konnte man meines Wissens nach sagen, dass der Editor nicht angezeigt wir. Jetzt sieht mir das so aus, als wäre das ein Default-Wert, den man dann individuell ändern kann.

Hallo,

danke für die schnelle Antwort. Werde es mal testweise ausschalten und schauen was die User dazu sagen...
Und für den Bug-Report... ist das die richtige URL: bugs.limesurvey.org/main_page.php

Viele Grüße
Thomas

Ja, oben rechts auf den Button "Report Issue" klicken.

Logindaten sind die gleichen wie im Forum.