CVE-2023-45819 in TinyMCEinfo

Zusammenfassung

von VulDB • 23.05.2026

TinyMCE ist ein Open-Source-Rich-Text-Editor. In der Notification-Manager-API von TinyMCE wurde eine Cross-Site-Scripting-(XSS)-Schwachstelle entdeckt. Die Schwachstelle nutzt das unfiltered Benachrichtigungssystem von TinyMCE aus, das bei der Fehlerbehandlung verwendet wird. Die Bedingungen für diesen Exploit erfordern, dass sorgfältig manipulierter bösartiger Inhalt in den Editor eingefügt wurde und eine Benachrichtigung ausgelöst wurde. Wenn eine Benachrichtigung geöffnet wurde, wurde der HTML-Code im Textargument unfiltered in der Benachrichtigung angezeigt. Die Schwachstelle ermöglichte die beliebige Ausführung von JavaScript, wenn eine Benachrichtigung in der TinyMCE-Benutzeroberfläche für den aktuellen Benutzer angezeigt wurde. Dieser Fehler könnte auch von jeder Integration ausgenutzt werden, die eine TinyMCE-Benachrichtigung zur Anzeige von unfiltered HTML-Inhalten verwendet. Diese Schwachstelle wurde in TinyMCE 5.10.8 und TinyMCE 6.7.1 behoben, indem sichergestellt wurde, dass der in der Benachrichtigung angezeigte HTML-Code gesäubert wird, wodurch der Exploit verhindert wird. Benutzern wird empfohlen, ein Upgrade durchzuführen. Es sind keine bekannten Workarounds für diese Schwachstelle bekannt.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub, Inc.

Reservieren

13.10.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-243002

CPE

bereit

EPSS

0.00601

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!