Popüler metin editörü TinyMCE’nin arkasındaki şirket Tiny Technologies, 19 Ekim 2023’te 5.10.8 sürümünün yayınlanacağını duyurdu.
Bu yeni sürüm, editörün güvenliğini artırmayı amaçlıyor ve önemli güvenlik yamaları içeriyor.
TinyMCE 5.10.8’de düzeltilen en büyük güvenlik sorunlarından biri, belirli bir HTML içeriği manipülasyonunun neden olduğu mutasyonlu siteler arası komut dosyası çalıştırma (mXSS) güvenlik açığıydı.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
CVE-2023-45818 adlı bu güvenlik açığı, düzenleyicinin geri alma ve yineleme özelliklerini etkiledi.
Kötü amaçlı bir HTML pasajı, editörün temizleme süreçlerini atlayabilir ve geri alma yığınında değiştirilmiş bir dize olarak saklanabilir.
Dize geri alma yığınından geri yüklendiğinde, manipülasyon ve ayrıştırma birleşimi nedeniyle bir XSS yükünü tetikleyebilir.
Bu güvenlik açığı aynı zamanda çeşitli TinyMCE API’lerini ve eklentilerini de etkiledi;Tinymce.Editor.getContent({ format: ‘raw’ })`, `tinymce.Editor.resetContent()` ve Otomatik kaydetme açık kaynak eklentisi.
Bu sorunu çözmek için TinyMCE 5.10.8, dize manipülasyonu yerine düğüm düzeyinde manipülasyon kullanarak HTML’yi kırpma biçimini değiştirdi; bu da riski önemli ölçüde azaltıyor.
Başka bir güvenlik sorunu, HTML içeren ve görüntülenmeden önce uygun şekilde temizlenmemiş olan bildirim mesajlarıyla ilgiliydi ve bu da siteler arası komut dosyası çalıştırma (XSS) güvenlik açığına neden oluyordu.
CVE-2023-45819 adlı bu güvenlik açığı, özellikle hata işleme senaryolarında TinyMCE’nin bildirim sisteminden yararlandı. Saldırgan, düzenleyiciye kötü amaçlı içerik ekleyebilir ve bir bildirim tetikleyebilir.
Bildirim açıldığında, bildirimin metin bağımsız değişkeni içindeki HTML, filtrelenmeden gösterildi ve bu, rastgele JavaScript yürütülmesine izin verdi.
Bu güvenlik riski, filtrelenmemiş HTML içeriğini görüntülemek için TinyMCE bildirimlerini kullanan tüm entegrasyonları da etkiledi.
TinyMCE 5.10.8 güncellemesi artık HTML’nin doğru şekilde temizlenmesini sağlayarak bu istismarın etkili bir şekilde önlenmesini sağlıyor.
Bu güvenlik açıklarının her ikisine de CVE’ler atandı ve GitHub Advisories tarafından onaylandı. Tiny Technologies, bu sorunları keşfeden güvenlik araştırmacılarına teşekkür etti.
Yeni Sürüme Nasıl Yükseltilir
TinyMCE 5.10.8’e yükseltme, kullanıcıların Tiny Cloud’u mu yoksa kendi kendine barındırılan bir kurulumu mu kullandığına bağlıdır.
Tiny Cloud, en son kurumsal sürümü sunar ve dağıtım kılavuzuna sahiptir. Kendi kendine barındırılan kullanıcılar, mevcut kurulumlarını yedeklemek, yeni sürümü indirmek ve özelleştirmelerini gerektiği gibi taşımak gibi belirli adımları izleyerek manuel olarak yükseltme yapabilirler.
Tiny Technologies, güvenlik iyileştirmelerinden yararlanmak ve sistemlerini potansiyel güvenlik tehditlerinden korumak için tüm kullanıcılara bu yeni sürüme güncelleme yapmalarını tavsiye ediyor.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.