CVE-2023-45819 in TinyMCE
요약
\~에 의해 VulDB • 2026. 05. 23.
TinyMCE는 오픈 소스 리치 텍스트 에디터입니다. TinyMCE의 Notification Manager API에서 크로스 사이트 스크립팅(XSS) 취약점이 발견되었습니다. 이 취약점은 에러 처리에 사용되는 TinyMCE의 필터링되지 않은 알림 시스템을 악용합니다. 이 익스플로잇을 위해서는 에디터에 신중하게 작성된 악성 콘텐츠가 삽입되고 알림이 트리거되어야 합니다. 알림이 열리면 텍스트 인자 내의 HTML이 필터링 없이 알림 창에 표시됩니다. 이 취약점으로 인해 현재 사용자에게 TinyMCE UI에 표시되는 알림에서 임의의 JavaScript 실행이 가능했습니다. 이 문제는 TinyMCE 알림을 사용하여 필터링되지 않은 HTML 콘텐츠를 표시하는 모든 통합 환경에서도 악용될 수 있습니다. 이 취약점은 TinyMCE 5.10.8 및 TinyMCE 6.7.1에서 알림에 표시되는 HTML을 정화(sanitize)하여 익스플로잇을 방지함으로써 패치되었습니다. 사용자는 업그레이드를 권장합니다. 이 취약점에 대한 알려진 우회 방법은 없습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.