TinyMCE 存在反射型跨站脚本漏洞
漏洞描述
TinyMCE 是一个开源的富文本编辑器。
TinyMCE 的受影响版本中由于未正确清理“WindowManager.alert”和“WindowManager.confirm” API 消息中的 HTML 从而存在 XSS 漏洞。攻击者可利用此漏洞向警报和确认对话框中提供恶意的 HTML 内容,当 TinyMCE UI 弹出报警或错误对话框时执行攻击者可控的恶意 Javascript 代码。
用户可参考 images _ load _ Handler 文档确保 images _ load _ Handler 返回始终有效值缓解此漏洞。
| 漏洞名称 | TinyMCE 存在反射型跨站脚本漏洞 |
|---|---|
| 漏洞类型 | XSS |
| 发现时间 | 2022-12-09 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-1921 |
| CVE编号 | CVE-2022-23494 |
| CNVD编号 | - |
影响范围
tinymce@[6.0.0, 6.3.1)
tinymce@(-∞, 5.10.7)
tinymce@(-∞, 5.10.7)
tinymce/tinymce@[6.0.0, 6.3.1)
tinymce/tinymce@(-∞, 5.10.7)
tinymce@[6.0.0, 6.3.1)
修复方案
将组件 tinymce 升级至 6.3.1 及以上版本
将组件 tinymce 升级至 5.10.7 及以上版本
将组件 tinymce/tinymce 升级至 6.3.1 及以上版本
将组件 tinymce/tinymce 升级至 5.10.7 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-1921
https://nvd.nist.gov/vuln/detail/CVE-2022-23494
https://github.com/tinymce/tinymce/security/advisories/GHSA-gg8r-xjwq-4w92
https://github.com/tinymce/tinymce/commit/6923d85eba6de3e08ebc9c5a387b5abdaa21150e
https://github.com/tinymce/tinymce/commit/8bb2d2646d4e1a718fce61a775fa22e9d317b32d
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
关注公众号 低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Go 语言通用代码生成器仙童尝鲜版十一,发布最新介绍视频
Go 语言通用代码生成器仙童尝鲜版十一,发布最新介绍视频 Go 语言通用代码生成器仙童尝鲜版十一,发布最新介绍视频。请见: https://www.bilibili.com/video/BV1ce411P7qU/ GO 语言通用代码生成器:仙童尝鲜版十一。在尝鲜版十基础上有增强和修错,并支持数据库表与字段的中文注释和兼容所有 java 通用代码生成器的 SGS2 模板,直接生成 go 语言后端和 Vue 前端,并自动格式化 java 语言 SGS2 模板至 go 语言模板。支持三大变形功能群,支持四种数据库,支持 Excel 数据导出。支持复杂版面和图形报表。 尝鲜版十一最大特点是兼容 Java 通用代码生成器的 Excel 模板。您需要打开 “使用 Java 兼容性” 复选框,系统即可使用 java 通用代码生成器光,和平之翼代码生成器和无垠式代码生成器的 SGS2 模板(即 Excel 模板)生成 go 语言的代码生成物。唯一的不同是仙童的 daoimpl,serviceimpl 的包名不支持点号,您需要把文件夹设为单层即可。 仙童第一个稳定版,是尝鲜版十。功能基本完备,所有示例通...
- 下一篇
Containous Traefik 授权标头泄露漏洞
漏洞描述 Containous Traefik是美国Containous公司的一款反向代理和负载平衡器。Containous Traefik 2.9.6之前的版本存在信息泄露漏洞,该漏洞源于其调试日志中显示授权标头。 漏洞名称 Containous Traefik 授权标头泄露漏洞 漏洞类型 信息暴露 发现时间 2022-12-09 漏洞影响广度 小 MPS编号 MPS-2022-1896 CVE编号 CVE-2022-23469 CNVD编号 - 影响范围 github.com/traefik/traefik/v2@(-∞, 2.9.6) 修复方案 将组件 github.com/traefik/traefik/v2 升级至 2.9.6 及以上版本 参考链接 https://www.oscs1024.com/hd/MPS-2022-1896 https://nvd.nist.gov/vuln/detail/CVE-2022-23469 情报订阅 OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Red5直播服务器,属于Java语言的直播服务器
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7设置SWAP分区,小内存服务器的救世主
微信收款码
支付宝收款码