Ekimchau

Nome do software vulnerável e versões afetadas: Versões do TinyMCE anteriores à 5.11.0 LTS Versões do TinyMCE anteriores à 6.8.4 Versões do TinyMCE anteriores à 7.2.0 Descrição: Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no código de extração de conteúdo do TinyMCE. Ao usar a opção `noneditable regexp`, atributos HTML especialmente criados contendo código malicioso podiam ser executados quando o conteúdo era extraído do editor. Recomendações: * Atualize para o TinyMCE 5.11.0 LTS ou superior para o TinyMCE 5.x. * Atualize para o TinyMCE 6.8.4 ou superior para o TinyMCE 6.x. * Atualize para o TinyMCE 7.2.0 ou superior para o TinyMCE 7.x.

**Nome do software vulnerável e versões afetadas** Versões do TinyMCE anteriores à 6.8.1 **Descrição** Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no código de inserção de conteúdo do TinyMCE. Isso permitia que elementos `iframe` contendo código malicioso fossem executados quando inseridos no editor. Esses elementos `iframe` têm suas permissões restringidas pelas proteções de origem idêntica do navegador, mas ainda assim podiam acionar operações como o download de recursos maliciosos. **Recomendações** Para versões anteriores à 6.8.1, atualize para a versão 6.8.1 ou posterior para corrigir a vulnerabilidade. Como solução alternativa temporária, considere configurar o `frame-src` ou `object-src` da Política de Segurança de Conteúdo HTTP (CSP) para restringir ou bloquear o carregamento de URLs não autorizadas. No TinyMCE 7.0.0 e versões posteriores, a opção `sandbox iframes` está habilitada por padrão, o que adiciona o atributo `sandbox=“”` a todos os elementos `iframe`. Para colocar em sandbox os elementos `iframe` de todos os domínios, defina a opção `sandbox iframes exclusions` como `[]`.