[changes]

[changes:de]

[bugfixes]

[bugfixes:de]

[security]
* *Security Update for CVE-2023-45818*
  * TinyMCE is an open source rich text editor. A mutation cross-site scripting (mXSS) vulnerability was discovered in TinyMCE’s core undo and redo functionality. When a carefully-crafted HTML snippet passes the XSS sanitisation layer, it is manipulated as a string by internal trimming functions before being stored in the undo stack. If the HTML snippet is restored from the undo stack, the combination of the string manipulation and reparative parsing by either the browser's native [DOMParser API](https://developer.mozilla.org/en-US/docs/Web/API/DOMParser) (TinyMCE 6) or the SaxParser API (TinyMCE 5) mutates the HTML maliciously, allowing an XSS payload to be executed. This vulnerability has been patched in TinyMCE 5.10.8 and TinyMCE 6.7.1 by ensuring HTML is trimmed using node-level manipulation instead of string manipulation. Users are advised to upgrade. There are no known workarounds for this vulnerability.
* *Security Update for CVE-2023-48219*
  * TinyMCE is an open source rich text editor. A mutation cross-site scripting (mXSS) vulnerability was discovered in TinyMCE’s core undo/redo functionality and other APIs and plugins. Text nodes within specific parents are not escaped upon serialization according to the HTML standard. If such text nodes contain a special character reserved as an internal marker, they can be combined with other HTML patterns to form malicious snippets. These snippets pass the initial sanitisation layer when the content is parsed into the editor body, but can trigger XSS when the special internal marker is removed from the content and re-parsed. his vulnerability has been patched in TinyMCE versions 6.7.3 and 5.10.9. Users are advised to upgrade. There are no known workarounds for this vulnerability.

[security:de]
* *Sicherheitsupdate für CVE-2023-45818*
  * TinyMCE ist ein Open-Source-Rich-Text-Editor. Eine Mutations-Cross-Site-Scripting (mXSS)-Schwachstelle wurde in der zentralen Rückgängig- und Wiederherstellungsfunktion von TinyMCE entdeckt. Wenn ein sorgfältig erstelltes HTML-Snippet die XSS-Sanitization-Schicht passiert, wird es durch interne Trimming-Funktionen als String manipuliert, bevor es im Undo-Stack gespeichert wird. Wird das HTML-Snippet aus dem Undo-Stack wiederhergestellt, führt die Kombination aus String-Manipulation und reparativem Parsing entweder durch die browser-eigene [DOMParser-API](https://developer.mozilla.org/en-US/docs/Web/API/DOMParser) (TinyMCE 6) oder die SaxParser-API (TinyMCE 5) zu einer böswilligen Veränderung des HTML-Snippets, so dass eine XSS-Nutzlast ausgeführt werden kann. Diese Schwachstelle wurde in TinyMCE 5.10.8 und TinyMCE 6.7.1 behoben, indem sichergestellt wird, dass HTML durch Manipulation auf Knotenebene statt durch Stringmanipulation zugeschnitten wird. Benutzern wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für diese Sicherheitslücke.
* *Sicherheitsupdate für CVE-2023-CVE-2023-48219*
  * TinyMCE ist ein Open-Source-Rich-Text-Editor. Eine Mutation Cross-Site Scripting (mXSS) Schwachstelle wurde in TinyMCE's Kern Undo/Redo Funktionalität und anderen APIs und Plugins entdeckt. Textknoten innerhalb bestimmter Eltern werden bei der Serialisierung nicht gemäß dem HTML-Standard escaped. Wenn solche Textknoten ein spezielles Zeichen enthalten, das als interne Markierung reserviert ist, können sie mit anderen HTML-Mustern kombiniert werden, um bösartige Snippets zu bilden. Diese Snippets passieren die anfängliche Bereinigungsschicht, wenn der Inhalt in den Körper des Editors geparst wird, können aber XSS auslösen, wenn die spezielle interne Markierung aus dem Inhalt entfernt und erneut geparst wird. Diese Schwachstelle wurde in den TinyMCE-Versionen 6.7.3 und 5.10.9 behoben. Benutzern wird empfohlen, ein Upgrade durchzuführen. Es gibt keine bekannten Umgehungsmöglichkeiten für diese Sicherheitslücke.
