CVE-2024-29203

Versões do TinyMCE anteriores à 6.8.1

Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no código de inserção de conteúdo do TinyMCE. Isso permitia que elementos iframe contendo código malicioso fossem executados quando inseridos no editor. Esses elementos iframe têm suas permissões restringidas pelas proteções de origem idêntica do navegador, mas ainda assim podiam acionar operações como o download de recursos maliciosos.

Para versões anteriores à 6.8.1, atualize para a versão 6.8.1 ou posterior para corrigir a vulnerabilidade.

Como solução alternativa temporária, considere configurar o frame-src ou object-src da Política de Segurança de Conteúdo HTTP (CSP) para restringir ou bloquear o carregamento de URLs não autorizadas.

No TinyMCE 7.0.0 e versões posteriores, a opção sandbox iframes está habilitada por padrão, o que adiciona o atributo sandbox=“” a todos os elementos iframe. Para colocar em sandbox os elementos iframe de todos os domínios, defina a opção sandbox iframes exclusions como [].