PT-2021-24351 · Tinymce · Tinymce

Yakir6

·

Publicado

2021-11-02

·

Atualizado

2025-11-28

·

CVE-2024-21910

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
**Nome do software vulnerável e versões afetadas:
Versões do TinyMCE anteriores à 5.10.0
Descrição:
Foi descoberta uma vulnerabilidade de script entre sites (XSS) na lógica de processamento de URLs dos plug-ins image e link, permitindo a execução arbitrária de JavaScript ao atualizar uma imagem ou um link usando uma URL especialmente criada para esse fim. Esse problema afeta apenas os usuários durante a edição, e as URLs perigosas são removidas de qualquer conteúdo extraído do editor.
Recomendações:
Para resolver o problema, faça o seguinte:
  • Atualize para o TinyMCE 5.10.0 ou superior
  • Desative os plug-ins image e link como uma solução temporária até que um patch esteja disponível.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-64CWE-79

Identificadores relacionados

CVE-2024-21910
GHSA-R8HM-W5F7-WJ39
GHSA-WXJ2-777F-VXMF

Produtos afetados

Tinymce