Non so se la vulnerabilità sia stata poi superata, ma ckeditor in passato offriva il fianco a iniezioni di codice. Che sia lui o no la causa, certo è che la sezione head e quella di chiusura devono essere state modificate