TinyMCE是一个自由开源，轻量级的，基于浏览器的，所见即所得编辑器，支持目前流行的各种浏览器，由JavaScript写成。它在众多内容管理系统(CMS)上运行时，可为成千上万的网站提供支持。

　　知名博客平台WordPress正在使用此开源文本编辑器。WordPress是使用PHP语言开发的博客平台，用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。也可以把 WordPress当作一个内容管理系统(CMS)来使用。

　　不过根据报道，WordPress所使用的TinyMCE HTML文本编辑器有一个严重的漏洞，威胁着众多网站。供应商在一份通报中分享了详细信息，他们发现跨站点脚本(XSS)漏洞影响了TinyMCE，一旦被利用，可能会导致信息泄露，特权提升或完整的帐户接管。以下是漏洞详情：

　　漏洞详情

　　跨站点脚本(XSS)漏洞(CVE-2020-12648)

　　跨站脚本(XSS)攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

　　WordPress所使用的TinyMCE的剥离和清理逻辑中存在漏洞，攻击者可以绕过这些内置的跨站点脚本(XSS)保护并执行任意JavaScript代码。该代码在加载TinyMCE的应用程序的上下文中执行。因此，利用此漏洞后可能产生的影响包括信息泄露，特权提升或完整的帐户接管。

　　WordPress已在数千个网站上使用，但是此漏洞对那些网站的风险和影响取决于使用WordPress TinyMCE的应用程序的详细信息，并非每个运行易受攻击的WordPress TinyMCE编辑器版本的网站都处于危险之中。供应商表示，该漏洞和后续利用的影响取决于多种因素。使用TinyMCE“经典”编辑模式，现有的XSS保护以及用户是否可以在编辑器内部控制初始内容，都会影响此漏洞的可利用性。

　　受影响产品

　　该漏洞影响了WordPress TinyMCE编辑器版本5.2.1和4.0.26

　　解决方案

　　供应商努力开发最终在WordPress TinyMCE 4.9.11和5.4.1版本中发布了修复程序。