Vulnerabilidad XSS crítica encontrada en TinyMCE
Hace un par de días, un investigador en forense digital reportó el hallazgo de una vulnerabilidad de secuencia de comandos entre sitios (XSS, por sus siglas en inglés) que afecta a tres plugins del editor de texto de código abierto TinyMCE.
La falla es considerada como
crítica, y su explotación permitiría la ejecución arbitraria de JavaScript
insertando un comando especialmente diseñado en el editor de texto mediante la
función de portapapeles o las API, menciona el informe de la falla publicado en
GitHub.
TinyMCE se ha convertido en una de las herramientas más
utilizadas por los desarrolladores, gracias a su amplia compatibilidad con las
bibliotecas de JavaScript y a su fácil integración en los sistemas
de gestión de contenido (CMS), menciona el experto en forense digital
que encontró la falla. Respecto a las versiones afectadas, la versión de
TinyMCE 4.9.6 e inferiores, además de TinyMCE 5.1.3 o inferiores, están
potencialmente expuestas a la explotación de las fallas.
En un comunicado, los
desarrolladores mencionaron que el problema se relaciona con el contenido que
no es desinfectado adecuadamente antes de ser cargado al editor. Para su
corrección, se lanzaron las versiones actualizadas de TinyMCE 4 y 5.
Los usuarios de alguna de estas versiones deben actualizar a TinyMCE 4.9.7 y 5.1.4. Además, se menciona que los plugins afectados son el analizador, la función de pegado y visualchars.
La actualización de seguridad
para esta vulnerabilidad ya está disponible. Esta corrección atiende el
problema mediante la lógica mejorada del analizador, además de la inclusión de
un limpiador HTML, los detalles técnicos completos se encuentran en el reporte
de TinyMCE.
El experto en forense digital que
reportó la vulnerabilidad también reveló una solución alternativa que consiste
en la inhabilitación de los plugins afectados y la desinfección manual del
contenido empleando el evento BeforeSetContent.
Acorde al Instituto Internacional
de Seguridad Cibernética (IICS), millones de personas san TinyMCE a diario,
además de que sus plugins favorecen el funcionamiento de casi el 40% de todos
los sitios web del mundo, por lo que era vital encontrar una solución para esta
vulnerabilidad antes de que los actores de amenazas comenzaran a explotarla en
escenarios reales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.
