Katalog CVE

CVE-2026-55660

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

Podatność w systemie zarządzania treścią Tina umożliwia ataki XSS i przejęcie sesji poprzez niezweryfikowane komunikaty postMessage oraz niewystarczające oczyszczanie adresów URL w treści bogatej. Atakujący może wykorzystać okno przeglądarki ofiary do wysyłania sfałszowanych wiadomości i przejąć kontrolę nad sesją edycyjną.

Ocena ryzyka

Ryzyko obejmuje przejęcie sesji uwierzytelnionego edytora, wstrzyknięcie złośliwej treści oraz kradzież danych. Atak może być przeprowadzony zdalnie bez interakcji ofiary poza odwiedzeniem spreparowanej strony.

Rekomendacja

Należy niezwłocznie zaktualizować @tinacms/app do wersji 2.5.6 lub nowszej oraz tinacms do wersji 3.9.3 lub nowszej. Po aktualizacji sprawdź konfigurację uwierzytelniania OAuth i mechanizmów postMessage.

Oryginalny opis (angielski, źródło NVD)

Tina is a headless content management system. In versions prior to @tinacms/app 2.5.6 and tinacms 3.9.3, cross-origin postMessage handlers and a rich-text URL-sanitization bypass enable stored XSS and session takeover. The library registers window message listeners — the useTina overlay handler, the OAuth authentication popup handler, and the admin↔preview iframe GraphQL reducer — that act on event.data without verifying event.origin or event.source and post messages using non-specific target origins, while insufficient URL sanitization in rich-text content allows malicious URLs to persist and execute. A page the victim visits (or a window in an opener/iframe relationship with a Tina admin) can forge messages to drive the editor, inject preview content, or observe/forge the OAuth popup channel to take over an authenticated editing session. This issue has been fixed in versions @tinacms/app 2.5.6 and tinacms 3.9.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS