TinyMCE 富文本编辑器中被指存在严重的跨站点脚本 (XSS) 漏洞,可导致提权、信息获取或账户接管等后果。
TinyMCE 由 Tiny Technologies公司开发,声称是最高级的 WYSIWYG HTML 编辑器,旨在简化网站内容创建过程。Tiny 公司指出该编辑器每年的下载量为3.5亿次,用于1亿多个网站中。TinyMCE 为免费开源编辑器,不过Tiny公司也提供付费计划,提供付费插件、支持和部署服务。Bishop Fox 公司的研究员在今年4月份发现 TinyMCE 易受 XSS 漏洞影响,而影响严重程度取决于使用该编辑器的应用程序。该漏洞是 CVE-2020-12648,影响5.2.1及更早版本,7月份发布版本4.9.11和5.4.1修复该漏洞。漏洞如遭利用,可导致攻击者提权、窃取信息甚至劫持目标用户的账户。Bishop Fox 公司的资深安全咨询师兼漏洞发现者 George Seketee 表示,“根据使用 tinyMCE 的网站,攻击者可将其用作存储型或反射型 XSS。这两种攻击活动均已出现。”他解释称,“利用的确切细节根据实现的不同而不同,但一般而言,攻击者需要使 tinyMCE 阐释构造的字符串,可能发生在初始页面加载阶段,有可能通过使用该站点的其它功能实现。在底层,如果通过构造的 payload 调用 tinyMCE 的 setContent() 或 insertContent() 函数,则会触发 XSS 漏洞。TinyMCE 指出该漏洞位于其‘核心解析器’中,这意味着还可能存在其它触发漏洞的方法。”发现该漏洞的另外一名 Bishop Fox 研究员 Chris Davis 指出,“从 XSS 的本质来看,漏洞利用可能导致提权后果并在用户不知情情况下以用户身份强制执行任意动作。”Tiny 公司的信息安全负责人 Dylan Just 表示,除了在新版本中修复该缺陷外,还提供了应变措施,“我们建议所有用户升级至 TinyMCE 5.4.1,因为 TinyMCE 4将在2020年12月到达生命周期。使用云托管 TinyMCE ‘/5’信道的客户将自动收到更新。”他解释称,“TinyMCE 是基于 web 的富文本编辑器,该问题是因为内容在加载到编辑器前未被正确清理造成的。我们已为 TinyMCE 4和5发布修复方案,但我们建议所有用户升级至最新的 TinyMCE 5版本。另外,我们建议用户清理客户端内容,并在网站上增加合适的内容安全策略。”Just 指出,安全对公司“极其重要”,并表示任何人只要发现漏洞,均可发送至infosec(at)tiny.cloud邮箱。
https://www.securityweek.com/potentially-serious-vulnerability-found-popular-wysiwyg-editor-tinymce
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~