У коді вставки вмісту TinyMCE виявлено вразливість міжсайтового сценарію (XSS). Це дозволяє виконувати елементи iframe, що містять зловмисний код, коли їх вставляють у редактор.25 березня 2024 р
У коді завантаження та вставки вмісту TinyMCE виявлено вразливість міжсайтового сценарію (XSS). Зображення SVG може бути завантажено через об’єкт або вбудований елемент, і це зображення потенційно може містити корисне навантаження XSS.
Міжсайтовий сценарій (XSS). атака, під час якої зловмисник впроваджує шкідливі виконувані сценарії в код довіреної програми або веб-сайту. Зловмисники часто ініціюють атаку XSS, надсилаючи зловмисне посилання користувачеві та спонукаючи користувача натиснути його.
Атаки міжсайтового сценарію (XSS) є тип ін’єкції, під час якої шкідливі сценарії впроваджуються на доброякісні та надійні веб-сайти. XSS-атаки відбуваються, коли зловмисник використовує веб-програму для надсилання шкідливого коду, як правило, у формі сценарію на стороні браузера, іншому кінцевому користувачеві.
Типовим прикладом відображеного міжсайтового сценарію є пошукова форма, де відвідувачі надсилають пошуковий запит на сервер, і тільки вони бачать результат. Зловмисники зазвичай надсилають жертвам власні посилання, які спрямовують нічого не підозрюючих користувачів на вразливу сторінку.
XSS може спричинити серйозні проблеми. Зловмисники часто використовують XSS, щоб викрасти файли cookie сеансу та видавати себе за користувача. Зловмисники також можуть використовувати XSS для псування веб-сайтів, поширення зловмисного програмного забезпечення, фішингу облікових даних користувача, підтримки методів соціальної інженерії тощо.