漏洞描述
TinyMCE 是一个开源的富文本编辑器。
TinyMCE 的受影响版本中由于未正确清理“WindowManager.alert”和“WindowManager.confirm” API 消息中的 HTML 从而存在 XSS 漏洞。攻击者可利用此漏洞向警报和确认对话框中提供恶意的 HTML 内容,当 TinyMCE UI 弹出报警或错误对话框时执行攻击者可控的恶意 Javascript 代码。
用户可参考 images _ load _ Handler 文档确保 images _ load _ Handler 返回始终有效值缓解此漏洞。
| 漏洞名称 | TinyMCE 存在反射型跨站脚本漏洞 |
|---|---|
| 漏洞类型 | XSS |
| 发现时间 | 2022-12-09 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-1921 |
| CVE编号 | CVE-2022-23494 |
| CNVD编号 | - |
影响范围
tinymce@[6.0.0, 6.3.1)
tinymce@(-∞, 5.10.7)
tinymce@(-∞, 5.10.7)
tinymce/tinymce@[6.0.0, 6.3.1)
tinymce/tinymce@(-∞, 5.10.7)
tinymce@[6.0.0, 6.3.1)
修复方案
将组件 tinymce 升级至 6.3.1 及以上版本
将组件 tinymce 升级至 5.10.7 及以上版本
将组件 tinymce/tinymce 升级至 6.3.1 及以上版本
将组件 tinymce/tinymce 升级至 5.10.7 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1921
https://nvd.nist.gov/vuln/detail/CVE-2022-23494
https://github.com/tinymce/tinymce/security/advisories/GHSA-gg8r-xjwq-4w92
https://github.com/tinymce/tinymce/commit/6923d85eba6de3e08ebc9c5a387b5abdaa21150e
https://github.com/tinymce/tinymce/commit/8bb2d2646d4e1a718fce61a775fa22e9d317b32d
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
