CVE-2026-55660
WysokieCVSS 7.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
Podatność w systemie zarządzania treścią Tina umożliwia ataki XSS i przejęcie sesji poprzez niezweryfikowane komunikaty postMessage oraz niewystarczające oczyszczanie adresów URL w treści bogatej. Atakujący może wykorzystać okno przeglądarki ofiary do wysyłania sfałszowanych wiadomości i przejąć kontrolę nad sesją edycyjną.
Ocena ryzyka
Ryzyko obejmuje przejęcie sesji uwierzytelnionego edytora, wstrzyknięcie złośliwej treści oraz kradzież danych. Atak może być przeprowadzony zdalnie bez interakcji ofiary poza odwiedzeniem spreparowanej strony.
Rekomendacja
Należy niezwłocznie zaktualizować @tinacms/app do wersji 2.5.6 lub nowszej oraz tinacms do wersji 3.9.3 lub nowszej. Po aktualizacji sprawdź konfigurację uwierzytelniania OAuth i mechanizmów postMessage.
Oryginalny opis (angielski, źródło NVD)
Tina is a headless content management system. In versions prior to @tinacms/app 2.5.6 and tinacms 3.9.3, cross-origin postMessage handlers and a rich-text URL-sanitization bypass enable stored XSS and session takeover. The library registers window message listeners — the useTina overlay handler, the OAuth authentication popup handler, and the admin↔preview iframe GraphQL reducer — that act on event.data without verifying event.origin or event.source and post messages using non-specific target origins, while insufficient URL sanitization in rich-text content allows malicious URLs to persist and execute. A page the victim visits (or a window in an opener/iframe relationship with a Tina admin) can forge messages to drive the editor, inject preview content, or observe/forge the OAuth popup channel to take over an authenticated editing session. This issue has been fixed in versions @tinacms/app 2.5.6 and tinacms 3.9.3.

