PT-2026-54847 · Unknown · Jodit Editor
Junming Wu
·
Publicado
2026-07-01
·
Atualizado
2026-07-01
·
CVE-2026-54756
CVSS v4.0
6.3
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Jodit Editor versões anteriores a 4.12.18
Description
O Jodit Editor é um editor WYSIWYG escrito em TypeScript. A função
Jodit.configure(options), juntamente com os auxiliares internos ConfigMerge e ConfigProto, mescla opções fornecidas pelo usuário na configuração do editor sem filtrar chaves de mutação de protótipo. Isso pode levar à Poluição de Protótipo (Prototype Pollution), onde um payload aninhado sob uma opção de objeto simples, como controls, pode mutar o Object.prototype. Aplicações que passam configurações controladas ou parcialmente controladas pelo usuário para Jodit.configure() estão suscetíveis a este problema.Recommendations
Atualizar para a versão 4.12.18.
Exploit
Correção
Prototype Pollution
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jodit Editor