PT-2024-23105 · Tinymce · Tinymce
Toni Huttunen
·
Publicado
2024-03-26
·
Atualizado
2026-03-19
·
CVE-2024-29881
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do TinyMCE anteriores à 6.8.1
Versões do TinyMCE anteriores à 7.0.0
Descrição
Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no código de carregamento e inserção de conteúdo do TinyMCE. Uma imagem SVG poderia ser carregada por meio de um elemento
object ou embed, e essa imagem poderia conter potencialmente uma carga útil de XSS.Recomendações
Para versões anteriores à 6.8.1, recomenda-se um NodeFilter personalizado para remover ou modificar quaisquer elementos
object ou embed. Isso pode ser adicionado usando as APIs editor.parser.addNodeFilter e editor.serializer.addNodeFilter.Para versões 6.8.1 e superiores, defina
convert unsafe embeds como true.Para quaisquer versões anteriores, considere desativar temporariamente o uso dos elementos
object e embed até que um patch esteja disponível.Exploit
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tinymce