Katalog CVE

CVE-2026-47760

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

TinyMCE to otwartoźródłowy edytor tekstu, który w wersjach od 6.8.0 do przed 7.1.0 zawiera podatność XSS spowodowaną niewłaściwym zarządzaniem zakresem przestrzeni nazw SVG w sanitizatorze. Odpowiednio skonstruowany ładunek z użyciem zagnieżdżonych elementów może obejść sanitizację atrybutów i wykonać dowolny kod JavaScript.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w kontekście użytkownika, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z wykorzystaniem tej luki.

Rekomendacja

Zaleca się aktualizację TinyMCE do wersji 7.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z TinyMCE.

Oryginalny opis (angielski, źródło NVD)

TinyMCE is an open source rich text editor. From 6.8.0 to before 7.1.0, TinyMCE contains an XSS vulnerability caused by improper SVG namespace scope handling in the sanitizer. A crafted payload using nested elements can bypass attribute sanitization and execute arbitrary JavaScript. This vulnerability is fixed in 7.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS