Vulnerabilidad en el editor HTML WYSIWYG de TinyMCE

4 años ago SOC Axians

Esta vulnerabilidad sobre la versión 5.2.1 de TinyMCE afecta aproximadamente a 100 millones de sitios web construidos con el editor de texto HTML de la marca.

Con CVE-2020-12648 ha sido reportada por Chris Davis y George Steketee (Bishop Fox Labs).

La vulnerabilidad es por la falta de protección contra ataques de scripts entre sitios (XSS), los hackers pueden eludir algunas protecciones para desplegar un ataque XSS y ejecutar código JavaScript arbitrario, permitiendo la extracción de información confidencial, ataques de escalada de privilegios, compromiso de cuentas de administrador, entre otros riesgos.

Esta vulnerabilidad se ha corregido en TinyMCE 4.9.11 y 5.4.1 mediante una lógica mejorada de análisis y desinfección de HTML.

Fuentes:

https://www.abeautifulsite.net/forcing-paste-as-plain-text-in-tinymce

Artículos relacionados

HAY GUSANOS QUE HACEN EL BIEN

2 años ago SOC Axians

¿QUÉ ES UNA BOTNET Y CÓMO PODEMOS PROTEGER NUESTROS EQUIPOS?

2 años ago SOC Axians

LA HISTORIA DEL PRIMER TROYANO

2 años ago SOC Axians

BLOQUEO POR LOCALIZACIÓN GEOGRÁFICA

2 años ago SOC Axians

¿Qué es el hacking ético?

3 años ago SOC Axians

Ransomware y teletrabajo

3 años ago SOC Axians

Centro de preferencias de privacidad

Gestión de consentimientos

Política de Privacidad

Obligatorio
Los datos de carácter personal (Tratamiento, nombre, apellido y correo electrónico) recopilados a partir de este formulario de contacto se transmitirán únicamente al servicio de comunicación de Axians España. Esta información sirve para tratar y poder responder a su solicitud. No se hará ningún tratamiento de sus datos con fines estadísticos, analíticos o comerciales. Por razones de seguridad, se registra la dirección IP del remitente para cada solicitud de contacto por medio de este formulario. Por favor, antes de enviar su mensaje revise nuestra Política de Privacidad"

Necessary

Advertising

Analytics

Other