CVE-2026-55661
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W systemie zarządzania treścią Tina stwierdzono podatność na atak XSS w komponencie rich-text. Parsowanie oraz domyślne renderery linków/obrazów nie oczyszczają pola URL, co pozwala na wstrzyknięcie złośliwych adresów (np. javascript: lub data:text/html) i wykonanie kodu podczas przeglądania treści.
Ocena ryzyka
Atakujący z uprawnieniami edytora treści (lub poprzez import zewnętrznych danych) może trwale umieścić złośliwy kod w treści, który wykona się w przeglądarkach innych redaktorów i odwiedzających witrynę, prowadząc do kradzieży sesji, danych lub dalszych ataków.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę @tinacms/mdx do wersji 2.1.7 lub nowszej oraz tinacms do wersji 3.9.3 lub nowszej. Po aktualizacji zweryfikować, czy wszystkie wprowadzone treści rich-text są bezpieczne.
Oryginalny opis (angielski, źródło NVD)
Tina is a headless content management system. In versions prior to @tinacms/mdx 2.1.7 and tinacms 3.9.3, rich-text parsing and the default link/image renderers did not sanitize the url field on Slate link/image nodes. Content containing javascript: or data:text/html URLs — including case-variant, whitespace-padded, and control-character-obfuscated forms — is rendered into href/src and executes when the content is viewed. Any actor able to author rich-text content (for example a lower-privileged editor, or imported/external content) can achieve stored XSS against editors and site viewers. This issue is fixed in versions @tinacms/mdx 2.1.7 and tinacms 3.9.3.

