Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en TinyMCE (CVE-2023-45819)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
19/10/2023
Última modificación:
26/10/2023

Descripción

TinyMCE es un editor de texto enriquecido de código abierto. Se descubrió una vulnerabilidad de Cross-Site Scripting (XSS) en la API del Administrador de notificaciones de TinyMCE. La vulnerabilidad explota el sistema de notificación sin filtrar de TinyMCE, que se utiliza en el manejo de errores. Las condiciones para este exploit requieren que se haya insertado contenido malicioso cuidadosamente manipulado en el editor y que se haya activado una notificación. Cuando se abrió una notificación, el HTML dentro del argumento de texto se mostró sin filtrar en la notificación. La vulnerabilidad permitía la ejecución arbitraria de JavaScript cuando se presentaba una notificación en la interfaz de usuario de TinyMCE para el usuario actual. Este problema también podría ser aprovechado por cualquier integración que utilice una notificación TinyMCE para mostrar contenido HTML sin filtrar. Esta vulnerabilidad se ha solucionado en TinyMCE 5.10.8 y TinyMCE 6.7.1 garantizando que el HTML que se muestra en la notificación esté sanitizado, lo que evita el exploit. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:tiny:tinymce:*:*:*:*:*:*:*:* 5.10.8 (excluyendo)
cpe:2.3:a:tiny:tinymce:*:*:*:*:*:*:*:* 6.0.0 (incluyendo) 6.7.1 (excluyendo)


Referencias a soluciones, herramientas e información