Vulnerabilidad XSS crítica encontrada en TinyMCE

Hace un par de días, un investigador en forense digital reportó el hallazgo de una vulnerabilidad de secuencia de comandos entre sitios (XSS, por sus siglas en inglés) que afecta a tres plugins del editor de texto de código abierto TinyMCE.

La falla es considerada como crítica, y su explotación permitiría la ejecución arbitraria de JavaScript insertando un comando especialmente diseñado en el editor de texto mediante la función de portapapeles o las API, menciona el informe de la falla publicado en GitHub.

TinyMCE se  ha convertido en una de las herramientas más utilizadas por los desarrolladores, gracias a su amplia compatibilidad con las bibliotecas de JavaScript y a su fácil integración en los sistemas de gestión de contenido (CMS), menciona el experto en forense digital que encontró la falla. Respecto a las versiones afectadas, la versión de TinyMCE 4.9.6 e inferiores, además de TinyMCE 5.1.3 o inferiores, están potencialmente expuestas a la explotación de las fallas.

En un comunicado, los desarrolladores mencionaron que el problema se relaciona con el contenido que no es desinfectado adecuadamente antes de ser cargado al editor. Para su corrección, se lanzaron las versiones actualizadas de TinyMCE 4 y 5. 

Los usuarios de alguna de estas versiones deben actualizar a TinyMCE 4.9.7 y 5.1.4. Además, se menciona que los plugins afectados son el analizador, la función de pegado y visualchars.

La actualización de seguridad para esta vulnerabilidad ya está disponible. Esta corrección atiende el problema mediante la lógica mejorada del analizador, además de la inclusión de un limpiador HTML, los detalles técnicos completos se encuentran en el reporte de TinyMCE.

El experto en forense digital que reportó la vulnerabilidad también reveló una solución alternativa que consiste en la inhabilitación de los plugins afectados y la desinfección manual del contenido empleando el evento BeforeSetContent.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), millones de personas san TinyMCE a diario, además de que sus plugins favorecen el funcionamiento de casi el 40% de todos los sitios web del mundo, por lo que era vital encontrar una solución para esta vulnerabilidad antes de que los actores de amenazas comenzaran a explotarla en escenarios reales.