0

  • Votre panier est vide.

  • LOGIN

Vulnérabilité XSS découverte dans l’éditeur de texte HTML TinyMCE

Certains articles de veille peuvent faire l'objet de traduction automatique.

Une vulnérabilité sérieuse existait dans l’éditeur de texte HTML TinyMCE. L’exploitation de la vulnérabilité pourrait entraîner l’exécution de code arbitraire.

Vulnérabilité TinyMCE découverte

Selon certaines informations, l’éditeur de texte HTML TinyMCE présentait une grave vulnérabilité menaçant de nombreux sites Web. Cet éditeur de texte open-source est utilisé par divers systèmes de gestion de contenu (CMS) tels que WordPress et Joomla !.

Partageant les détails dans un avis, les fournisseurs ont révélé qu’une vulnérabilité de script intersite (XSS) affectait TinyMCE. C’est une vulnérabilité de gravité élevée (CVE-2020-12648) qui, lors de l’exploitation, pourrait conduire à l’exécution de code arbitraire.

Comme expliqué dans l’avis,

TinyMCE est affecté par une vulnérabilité dans sa logique de suppression et de nettoyage, qui permet à un attaquant de contourner ces protections intégrées de script intersite (XSS) et d’exécuter du code JavaScript arbitraire. Le code a été exécuté dans le contexte de l’application qui a chargé TinyMCE.

Par conséquent, les impacts potentiels suite à l’exploitation du bogue comprenaient la divulgation d’informations, l’élévation de privilèges ou la prise de contrôle complète du compte.

Les détails techniques de ce bogue sont disponibles dans le consultatif.

Patch publié

La vulnérabilité a attiré l’attention des chercheurs en sécurité George Steketee et Chris Davis. Comme observé, la vulnérabilité affectait l’éditeur TinyMCE version 5.2.1 ainsi que 4.0.26.

Suite aux rapports, les vendeurs ont travaillé pour développer un correctif qu’ils ont finalement publié avec les versions 4.9.11 et 5.4.1.

TinyMCE est un éditeur HTML WYSIWYG et une bibliothèque JavaScript. Il permet à des milliers de sites Web de fonctionner sur de nombreux CMS.

Néanmoins, tous les sites Web exécutant les versions vulnérables de l’éditeur TinyMCE ne sont pas menacés. Les vendeurs ont expliqué que l’impact du bogue et de l’exploitation ultérieure dépend de plusieurs facteurs.

TinyMCE est utilisé sur des milliers de sites Web, mais le risque et l’impact de cette vulnérabilité sur ces sites dépendent des détails de l’application dans laquelle TinyMCE est utilisé. L’utilisation du mode d’édition «classique», les protections XSS existantes et la possibilité pour les utilisateurs de contrôler le contenu initial dans l’éditeur affectent tous l’exploitabilité de cette vulnérabilité.

Cependant, comme les correctifs sont sortis, tout le monde doit s’assurer de la mise à jour vers les dernières versions corrigées au plus tôt.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

septembre 3, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)