CVE-2026-47759
WysokieStreszczenie
TinyMCE to otwartoźródłowy edytor tekstu, który przed wersjami 5.11.1, 7.9.3 i 8.5.1 miał podatność na XSS typu stored poprzez niesanitizowane atrybuty data-mce-*. Umożliwia to atakującym wstrzykiwanie złośliwych wartości, które mogą nadpisywać bezpieczne atrybuty podczas serializacji.
Ocena ryzyka
Organizacje korzystające z podatnych wersji TinyMCE mogą być narażone na ataki XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wpływa to na bezpieczeństwo aplikacji oraz zaufanie użytkowników.
Rekomendacja
Zaleca się aktualizację TinyMCE do wersji 5.11.1, 7.9.3 lub 8.5.1, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z tego edytora.
Oryginalny opis (angielski, źródło NVD)
TinyMCE is an open source rich text editor. Prior to 5.11.1, 7.9.3, and 8.5.1, there is a stored XSS vulnerability via unsanitized data-mce-* attributes (data-mce-href, data-mce-src, data-mce-style). Allows attackers to inject malicious values that override safe attributes during serialization, bypassing validation. This vulnerability is fixed in 5.11.1, 7.9.3, and 8.5.1.

