PT-2026-54847 · Unknown · Jodit Editor

Junming Wu

·

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-54756

CVSS v4.0

6.3

Média

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Nome do Software Vulnerável e Versões Afetadas Jodit Editor versões anteriores a 4.12.18
Description O Jodit Editor é um editor WYSIWYG escrito em TypeScript. A função Jodit.configure(options), juntamente com os auxiliares internos ConfigMerge e ConfigProto, mescla opções fornecidas pelo usuário na configuração do editor sem filtrar chaves de mutação de protótipo. Isso pode levar à Poluição de Protótipo (Prototype Pollution), onde um payload aninhado sob uma opção de objeto simples, como controls, pode mutar o Object.prototype. Aplicações que passam configurações controladas ou parcialmente controladas pelo usuário para Jodit.configure() estão suscetíveis a este problema.
Recommendations Atualizar para a versão 4.12.18.

Exploit

Correção

Prototype Pollution

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-54756
GHSA-5957-5C94-3V7W

Produtos afetados

Jodit Editor