CVE-2026-47760
WysokieStreszczenie
TinyMCE to otwartoźródłowy edytor tekstu, który w wersjach od 6.8.0 do przed 7.1.0 zawiera podatność XSS spowodowaną niewłaściwym zarządzaniem zakresem przestrzeni nazw SVG w sanitizatorze. Odpowiednio skonstruowany ładunek z użyciem zagnieżdżonych elementów może obejść sanitizację atrybutów i wykonać dowolny kod JavaScript.
Ocena ryzyka
Podatność ta może prowadzić do wykonania złośliwego kodu JavaScript w kontekście użytkownika, co stwarza ryzyko kradzieży danych lub przejęcia sesji. Organizacje powinny być świadome potencjalnych zagrożeń związanych z wykorzystaniem tej luki.
Rekomendacja
Zaleca się aktualizację TinyMCE do wersji 7.1.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji korzystających z TinyMCE.
Oryginalny opis (angielski, źródło NVD)
TinyMCE is an open source rich text editor. From 6.8.0 to before 7.1.0, TinyMCE contains an XSS vulnerability caused by improper SVG namespace scope handling in the sanitizer. A crafted payload using nested elements can bypass attribute sanitization and execute arbitrary JavaScript. This vulnerability is fixed in 7.1.0.

