Уязвимость редактора форматированного текста TinyMCE существует из-за непринятия мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, провести атаку межсайтового скриптинга (XSS) с помощью специально созданной ссылки
Использование рекомендаций:
Для TinyMCE:
https://www.tiny.cloud/docs/tinymce/6/6.8.4-release-notes/#overview
https://www.tiny.cloud/docs/tinymce/latest/7.2-release-notes/#overview
https://github.com/tinymce/tinymce/security/advisories/GHSA-w9jx-4g6g-rp7x
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2024.html?534662
Компенсирующие меры:
- отключение неиспользуемых учетных записей, а также учетных записей недоверенных пользователей;
- принудительная смена паролей пользователей;
- ограничение доступа к командной строке для недоверенных пользователей;
- использование антивирусных средств защиты;
- мониторинг действий пользователей
| Балл | 6.4 — средняя опасность |