Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08354

Опубликовано: 19 июн. 2024
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость редактора форматированного текста TinyMCE существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS) с помощью специально созданной ссылки

Вендор

Tiny Technologies Inc.
Oracle Corp.

Наименование ПО

TinyMCE
Oracle Application Express

Версия ПО

от 6.0.0 до 6.8.4 (TinyMCE)
от 7.0.0 до 7.2.0 (TinyMCE)
до 5.11.0 LTS (TinyMCE)
23.2 (Oracle Application Express)
24.1 (Oracle Application Express)
23.1 (Oracle Application Express)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для TinyMCE:
https://www.tiny.cloud/docs/tinymce/6/6.8.4-release-notes/#overview
https://www.tiny.cloud/docs/tinymce/latest/7.2-release-notes/#overview
https://github.com/tinymce/tinymce/security/advisories/GHSA-w9jx-4g6g-rp7x
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2024.html?534662
Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 81%
0.01485
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-38357

CVSS3: 6.1
ubuntu
больше 1 года назад

TinyMCE is an open source rich text editor. A cross-site scripting (XSS) vulnerability was discovered in TinyMCE’s content parsing code. This allowed specially crafted noscript elements containing malicious code to be executed when that content was loaded into the editor. This vulnerability has been patched in TinyMCE 7.2.0, TinyMCE 6.8.4 and TinyMCE 5.11.0 LTS by ensuring that content within noscript elements are properly parsed. Users are advised to upgrade. There are no known workarounds for this vulnerability.

nvd логотип

CVE-2024-38357

CVSS3: 6.1
nvd
больше 1 года назад

TinyMCE is an open source rich text editor. A cross-site scripting (XSS) vulnerability was discovered in TinyMCE’s content parsing code. This allowed specially crafted noscript elements containing malicious code to be executed when that content was loaded into the editor. This vulnerability has been patched in TinyMCE 7.2.0, TinyMCE 6.8.4 and TinyMCE 5.11.0 LTS by ensuring that content within noscript elements are properly parsed. Users are advised to upgrade. There are no known workarounds for this vulnerability.

debian логотип

CVE-2024-38357

CVSS3: 6.1
debian
больше 1 года назад

TinyMCE is an open source rich text editor. A cross-site scripting (XS ...

github логотип

GHSA-w9jx-4g6g-rp7x

CVSS3: 6.1
github
больше 1 года назад

TinyMCE Cross-Site Scripting (XSS) vulnerability using noscript elements

EPSS

Процентиль: 81%
0.01485
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2