js · tinymceCrítico
TinyMCE: Stored XSS via dados não sanitizados em atributos data-mce-*
Vulnerabilidade de XSS armazenado via atributos data-mce-* (data-mce-href, data-mce-src, data-mce-style) não sanitizados.
O que mudou
Vulnerabilidade de XSS armazenado via atributos data-mce-* (data-mce-href, data-mce-src, data-mce-style) não sanitizados. Atacantes podem injetar valores maliciosos que sobrescrevem atributos seguros durante a serialização, contornando a validação.
Quem isso afeta
Todos os usuários de versões do TinyMCE anteriores a 5.11.1 LTS, 7.9.3 e 8.5.1.
O que fazer hoje
Atualize para TinyMCE 8.5.1 ou superior, 7.9.3 ou superior, ou 5.11.1 LTS ou superior.
A esteira
Coletado→
Auditado→
Redigido→
Publicado