PT-2022-16027 · Tinymce · Tinymce
P4Rkjw
·
Publicado
2022-12-08
·
Atualizado
2022-12-12
·
CVE-2022-23494
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do TinyMCE anteriores à 5.10.7
Versões do TinyMCE anteriores à 6.3.1
Descrição
Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) nas caixas de diálogo de alerta e confirmação quando estas recebiam conteúdo HTML malicioso. Isso pode ocorrer em plugins que utilizam as caixas de diálogo de alerta ou confirmação, como no plugin
image, que exibe essas caixas de diálogo quando ocorrem determinados erros. A vulnerabilidade permitia a execução arbitrária de JavaScript quando um alerta era exibido na interface do usuário do TinyMCE para o usuário atual.Recomendações
Para evitar essa vulnerabilidade, atualize para o TinyMCE 5.10.7 ou superior para o TinyMCE 5.x.
Para evitar essa vulnerabilidade, atualize para o TinyMCE 6.3.1 ou superior para o TinyMCE 6.x.
Como solução temporária, certifique-se de que o
images upload handler retorne um valor válido, conforme a documentação do images upload handler.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tinymce