XSS脆弱性用Tinymce修补

敦促用户更新开源文本编辑器

更新研究人员发现A A后，已发布了流行的开源文本编辑器Tinymce的安全更新跨站脚本（（XSS）影响其三个插件的漏洞。

根据开发人员Tiny Technologies的一篇文章，该缺陷被标记为“高”严重性，允许“在通过剪贴板或API插入特殊精心设计的内容时进行任意JavaScript执行”。在github上。

与JavaScript库的Tinymce兼容性以及在内容管理系统中的轻松集成使其成为开发人员使用的流行工具。

Tinymce 4.9.6或更低和Tinymce 5.1.3或更低的用户受到缺陷的影响，并敦促升级到最新版本 -Tinymce 4.9.7和5.1.4。

安全研究员MichałBentkowski发现的脆弱性影响了核心解析器，粘贴， 和VisualChars插件。

已发行的修复程序通过改进的解析器逻辑和HTML消毒来纠正漏洞，Tinymce已详细介绍发行说明。

用户还可以通过禁用受影响的插件或使用该内容来保护自己beforesetcontentTiny在其GitHub帖子中建议的事件。

Bentkowski拒绝对他的发现发表评论，直到发布与缺陷有关的细节，他也在其他受欢迎的Wysiwyg编辑中被发现。

他说每日swbeplay2018官网ig他打算在“每个人都得到修复”时披露信息。

微小的主张beplay体育能用吗网站数百万的人每天都使用Tinymce，并且其丰富的文本编辑器平台共同为全球40％以上的网站提供动力。beplay体育能用吗

在一份声明中每日swbeplay2018官网ig，Tiny的软件建筑师Dylan Just说：

该问题涉及在将其加载到编辑器中之前未正确消毒的内容。我们已经发布了用于Tinymce 4和5的修复程序，但建议所有用户升级到最新的Tinymce 5。

除此之外，我们建议用户对内容服务器端进行消毒，并添加合适的内容安全策略到他们的网站。beplay体育能用吗

安全性对我们和我们的用户非常重要，因此安全问题在TINY时赋予了任何类型的问题的最高优先级。任何发现漏洞的人都可以通过发送电子邮件至infosec@tiny.cloud来报告它。

本文已通过Tiny和研究员MichałBentkowski的评论进行了更新。