Nome do software vulnerável e versões afetadas:

TinyMCE versão 6

Descrição:

O problema decorre do valor de configuração convert unsafe embeds definido como false, permitindo que arquivos svg com javascript sejam usados nas tags <object> ou <embed>, o que pode levar a ataques XSS. Observe que as tags <embed> não são permitidas por padrão. O impacto da vulnerabilidade é considerado médio, considerando como o TinyMCE é utilizado em determinados contextos.

Recomendações:

Para o TinyMCE versão 6, atualize o valor de configuração convert unsafe embeds para true para mitigar o risco. Como alternativa, considere substituir essa configuração se necessário, mas esteja ciente de que isso pode introduzir riscos de segurança. Como solução temporária, considere restringir o uso de tags <object> até que o problema seja resolvido.