CVE-2023-45819 in TinyMCEinformazioni

Riassunto

di VulDB • 20/06/2026

TinyMCE è un editor di testo ricco open source. È stata rilevata una vulnerabilità cross-site scripting (XSS) nell'API Notification Manager di TinyMCE. La vulnerabilità sfrutta il sistema di notifica non filtrato di TinyMCE, utilizzato nella gestione degli errori. Le condizioni per questo exploit richiedono che contenuti dannosi appositamente costruiti siano stati inseriti nell'editor e che una notifica sia stata attivata. Quando una notifica veniva aperta, l'HTML contenuto nell'argomento testo veniva visualizzato senza filtraggio all'interno della notifica. La vulnerabilità consentiva l'esecuzione arbitraria di JavaScript quando una notifica veniva presentata nell'interfaccia utente (UI) di TinyMCE per l'utente corrente. Questa problematica poteva anche essere sfruttata da qualsiasi integrazione che utilizza una notifica TinyMCE per visualizzare contenuti HTML non filtrati. Questo problema è stato risolto in TinyMCE 5.10.8 e TinyMCE 6.7.1 garantendo la sanificazione dell'HTML visualizzato nella notifica, impedendo così lo sfruttamento. Si consiglia agli utenti di effettuare l'aggiornamento. Non sono note soluzioni alternative (workaround) per questa vulnerabilità.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

13/10/2023

Divulgazione

25/10/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00601

KEV

no

Attività

molto basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!