George Steketee

**Nome do software vulnerável e versões afetadas** Versões 4.9.10 e anteriores do TinyMCE Versões 5.2.1 e anteriores do TinyMCE Versões 5.4.0 e anteriores do TinyMCE **Descrição** Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores remotos injetem scripts web arbitrários quando configurado no modo de edição clássico. A vulnerabilidade está no analisador central e permite a execução arbitrária de JavaScript ao inserir um conteúdo especialmente criado no editor por meio da área de transferência ou de APIs. **Recomendações** Para as versões 4.9.10 e anteriores do TinyMCE, atualize para o TinyMCE 4.9.11. Para as versões 5.2.1 e anteriores do TinyMCE, atualize para o TinyMCE 5.4.1. Para usuários que não possam atualizar imediatamente, habilite o plugin de mídia para substituir o comportamento padrão de análise de iframes. Como alternativa, adicione uma solução alternativa para atualizar as regras do esquema de análise para iframes usando o seguinte código: ```js setup: function(editor) { editor.on(‘PreInit’, function() { editor.schema.getSpecialElements()[‘iframe’] = /</iframe[^>]*>/gi; }); } ```