PT-2024-5043 · Tinymce+2 · Tinymce+2

Ekimchau

Publicado

2024-06-19

Atualizado

2026-04-29

CVE-2024-38356

CVSS v2.0

6.4

Média

Vetor

AV:N/AC:L/Au:N/C:P/I:P/A:N

Nome do software vulnerável e versões afetadas:

Versões do TinyMCE anteriores à 5.11.0 LTS

Versões do TinyMCE anteriores à 6.8.4

Versões do TinyMCE anteriores à 7.2.0

Descrição:

Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no código de extração de conteúdo do TinyMCE. Ao usar a opção noneditable regexp, atributos HTML especialmente criados contendo código malicioso podiam ser executados quando o conteúdo era extraído do editor.

Recomendações:

Atualize para o TinyMCE 5.11.0 LTS ou superior para o TinyMCE 5.x.
Atualize para o TinyMCE 6.8.4 ou superior para o TinyMCE 6.x.
Atualize para o TinyMCE 7.2.0 ou superior para o TinyMCE 7.x.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BDU:2024-05570

CVE-2024-38356

GHSA-9HCV-J9PV-QMPH

USN-8223-1

Produtos afetados

Linuxmint

Tinymce

Ubuntu

PT-2024-5043 · Tinymce+2 · Tinymce+2

CVE-2024-38356

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 25