Vulnerabilidad en TinyMCE (CVE-2024-38356)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/06/2024
Última modificación:
20/06/2024
Descripción
TinyMCE es un editor de texto enriquecido de código abierto. Se descubrió una vulnerabilidad de cross-site scripting (XSS) en el código de extracción de contenido de TinyMCE. Al utilizar la opción `noneditable_regexp`, se podían ejecutar atributos HTML especialmente manipulados que contenían código malicioso cuando se extraía el contenido del editor. Esta vulnerabilidad se ha solucionado en TinyMCE 7.2.0, TinyMCE 6.8.4 y TinyMCE 5.11.0 LTS garantizando que, al utilizar la opción `noneditable_regexp`, se verifique correctamente que cualquier contenido dentro de un atributo coincida con la expresión regular configurada antes de agregarlo. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/tinymce/tinymce/commit/5acb741665a98e83d62b91713c800abbff43b00d
- https://github.com/tinymce/tinymce/security/advisories/GHSA-9hcv-j9pv-qmph
- https://owasp.org/www-community/attacks/xss
- https://www.tiny.cloud/docs/tinymce/6/6.8.4-release-notes/#overview
- https://www.tiny.cloud/docs/tinymce/7/7.2-release-notes/#overview