Специалисты Bishop Fox обнаружили опасную уязвимость в одном из наиболее популярных WYSIWYG-редакторов, TinyMCE, созданном компанией Tiny Technologies. По информации разработчиков, редактор ежегодно загружают примерно 350 000 000 раз, и он работает более чем на 100 000 000-сайтов. TinyMCE доступен бесплатно, как опенсорсное решение, но разработчики также предлагают пользователям платные услуги, включая премиумные плагины, поддержку и услуги развертывания.
Исследователи из Bishop Fox пишут, что TinyMCE подвержен XSS-уязвимости, последствия эксплуатации которой зависят от конкретного приложения, использующего редактор: возможно повышение привилегий, хищение информации или захват учетных записей. В зависимости от сайта, на котором используется TinyMCE, злоумышленник может эксплуатировать уязвимость как stored или reflected XSS, поясняют исследователи. Чаще всего это приводит к эскалации привилегий, но также может использоваться для совершения действий от лица пользователя (без ведома последнего).
Проблеме был присвоен идентификатор CVE-2020-12648, она затрагивала версию 5.2.1 и более ранние, и в настоящее время брешь устранили с релизом TinyMCE версий 4.9.11 и 5.4.1. Также разработчики опубликовали рекомендации по возможному обходу уязвимости без установки исправлений, но все же настоятельно рекомендовали пользователям перейти на обновленные версии, а лучше всего — на новейший TinyMCE пятой версии.