Hace un par de días, un investigador en forense digital reportó el hallazgo de una vulnerabilidad de secuencia de comandos entre sitios (XSS, por sus siglas en inglés) que afecta a tres plugins del editor de texto de código abierto TinyMCE.
La falla es considerada como crítica, y su explotación permitiría la ejecución arbitraria de JavaScript insertando un comando especialmente diseñado en el editor de texto mediante la función de portapapeles o las API, menciona el informe de la falla publicado en GitHub.
TinyMCE se ha convertido en una de las herramientas más utilizadas por los desarrolladores, gracias a su amplia compatibilidad con las bibliotecas de JavaScript y a su fácil integración en los sistemas de gestión de contenido (CMS), menciona el experto en forense digital que encontró la falla. Respecto a las versiones afectadas, la versión de TinyMCE 4.9.6 e inferiores, además de TinyMCE 5.1.3 o inferiores, están potencialmente expuestas a la explotación de las fallas.
En un comunicado, los desarrolladores mencionaron que el problema se relaciona con el contenido que no es desinfectado adecuadamente antes de ser cargado al editor. Para su corrección, se lanzaron las versiones actualizadas de TinyMCE 4 y 5.
Los usuarios de alguna de estas versiones deben actualizar a TinyMCE 4.9.7 y 5.1.4. Además, se menciona que los plugins afectados son el analizador, la función de pegado y visualchars.
La actualización de seguridad para esta vulnerabilidad ya está disponible. Esta corrección atiende el problema mediante la lógica mejorada del analizador, además de la inclusión de un limpiador HTML, los detalles técnicos completos se encuentran en el reporte de TinyMCE.
El experto en forense digital que reportó la vulnerabilidad también reveló una solución alternativa que consiste en la inhabilitación de los plugins afectados y la desinfección manual del contenido empleando el evento BeforeSetContent.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), millones de personas san TinyMCE a diario, además de que sus plugins favorecen el funcionamiento de casi el 40% de todos los sitios web del mundo, por lo que era vital encontrar una solución para esta vulnerabilidad antes de que los actores de amenazas comenzaran a explotarla en escenarios reales.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
