Kerentanan skrip lintas situs (XSS) telah ditemukan di editor WYSIWYG yang digunakan oleh setidaknya 30.000 situs web.
Ditemukan oleh konsultan keamanan Bishop Fox Chris Davis dan diungkapkan kepada publik pada hari Rabu, bug, dilacak sebagai CVE-2021-28114, berdampak pada Froala versi 3.2.6 dan sebelumnya.
Froala adalah editor teks kaya HTML What-You-See-Is-What-You-Get (WYSIWYG) ringan untuk pengembang dan pembuat konten.
Wappalyzer memperkirakan bahwa Froala digunakan oleh sekitar 30.000 domain web.
Menurut Bishop Fox, editor WYSIWYG berisi kelemahan keamanan dalam protokol parsing sanitasi HTML-nya, yang memungkinkan penyerang untuk melewati perlindungan XSS yang ada.
Kerentanan dapat dipicu dengan memasukkan muatan JavaScript dalam pengendali peristiwa HTML dalam tag HTML dan MathML tertentu, yang akan menyebabkan pengurai mengubah muatan menjadi perintah JavaScript.
selengkapnya : www.zdnet.com
