Що таке вразливість міжсайтових сценаріїв у сповіщеннях TinyMCE?

У коді вставки вмісту TinyMCE виявлено вразливість міжсайтового сценарію (XSS). Це дозволяє виконувати елементи iframe, що містять зловмисний код, коли їх вставляють у редактор.25 березня 2024 р

У коді завантаження та вставки вмісту TinyMCE виявлено вразливість міжсайтового сценарію (XSS). Зображення SVG може бути завантажено через об’єкт або вбудований елемент, і це зображення потенційно може містити корисне навантаження XSS.

Огляд. Атаки міжсайтового сценарію (XSS) є тип ін’єкції, під час якої шкідливі сценарії впроваджуються на доброякісні та надійні веб-сайти. XSS-атаки відбуваються, коли зловмисник використовує веб-програму для надсилання шкідливого коду, як правило, у формі сценарію на стороні браузера, іншому кінцевому користувачеві.

Вразливість дозволено довільне виконання JavaScript під час сповіщення, представленого в інтерфейсі користувача TinyMCE для поточного користувача. Ця проблема також може бути використана будь-якою інтеграцією, яка використовує сповіщення TinyMCE для відображення нефільтрованого вмісту HTML. Цю вразливість було виправлено в TinyMCE 6.7.

Міжсайтові скриптові атаки, які також називають XSS-атаками, є тип ін’єкційної атаки, яка впроваджує шкідливий код на безпечні веб-сайти. Зловмисник використає недолік цільової веб-програми, щоб надіслати кінцевому користувачеві якийсь шкідливий код, найчастіше клієнтський JavaScript.

Збережений XSS, відображений XSS і XSS на основі DOM є трьома найпоширенішими типами міжсайтових скриптових атак. Вони відрізняються залежно від того, впливають вони на серверну чи клієнтську сторону веб-програми.

Related Posts

Хто переміг Джорджа Томаса?

Скільки дієвідмін в англійській мові?

Що означає vitae?