TinyMCE 四個 XSS 漏洞同步修補:GHSA-vg35、GHSA-v98h、GHSA-q742、GHSA-mh5m
GitHub Advisory Database · 2026-06-05
TinyMCE 於 2026 年 6 月 5 日同步修補四個跨站腳本(XSS)漏洞,涵蓋 npm、Composer 與 NuGet 三個套件生態,影響 TinyMCE 5.x、6.x、7.x 與 8.x 的未修補版本。四個漏洞均評為 High(CVSS 8.7),修補版本統一為 5.11.1 LTS、7.9.3 和 8.5.1。
漏洞機制
四個漏洞各自利用不同的攻擊面,但共同點是攻擊者需要低權限(如內容編輯者角色)且需要用戶互動(載入受汙染的內容):
- GHSA-vg35-5wq7-3x7w(CVE-2026-47761):媒體外掛的
data-mce-object注入——攻擊者透過精心設計的data-mce-*屬性在媒體物件中注入惡意腳本,媒體外掛啟用時觸發 - GHSA-v98h-vmpc-fpqv(CVE-2026-47762):
mce:protected偽造——攻擊者在 TinyMCE 的 protected 注釋機制中注入偽造標記,繞過清理器在內容還原時執行任意腳本 - GHSA-q742-qvgc-gc2f(CVE-2026-47759):
data-mce-href/src/style屬性注入——未經清理的data-mce-*前綴屬性在序列化時覆蓋安全屬性,繞過驗證 - GHSA-mh5m-5hw4-5c69:巢狀 SVG 清理器繞過——透過嵌套 SVG 結構觸發 sanitizer 的邊界條件,允許 XSS payload 逃逸清理邏輯
受影響版本
| 系列 | 受影響 | 修補版本 |
|---|---|---|
| TinyMCE 8.x | 8.0.0 – 8.5.0 | 8.5.1 |
| TinyMCE 7.x | 6.0.0 – 7.9.2 | 7.9.3 |
| TinyMCE 5.x LTS | 低於 5.11.1 | 5.11.1(商業支援) |
修補與緩解
沒有任何替代緩解方案——升級是唯一修補途徑。TinyMCE 廣泛用於 CMS、文件編輯、郵件編輯等場景,如果應用程式允許多個用戶共享 TinyMCE 生成的內容(如文章、評論),攻擊者可利用這些漏洞在受害者瀏覽器中執行任意腳本,竊取 session token 或劫持帳號。建議使用 npm audit、composer audit 或 NuGet 安全掃描確認版本,並立即升級。
Android 假來電偵測:RCS 加密握手對抗 AI 深偽語音冒充
Google Blog · 2026-06-06
Google 於 2026 年 6 月起向 Pixel 裝置推出 Android 假來電偵測功能,後續擴展至全球更多裝置。功能在 Android 12 及更新版本上以 Phone by Google 應用提供,核心技術是端對端加密 RCS 訊號的即時驗證,而非對語音內容進行 AI 分析。
技術機制
功能的核心是一個「數位握手」機制:當兩端都安裝了 Phone by Google 時,主叫方裝置在通話建立時透過端對端加密 RCS 通道發送靜默驗證訊號到被叫方裝置。若主叫方裝置收到此訊號,即確認通話方確實持有該聯絡人的裝置。
當詐騙者假冒電話號碼(call spoofing)時,他們只持有偽造的電話號碼,但不持有對應聯絡人的實體裝置。被叫方的 Phone by Google 在未收到來自該聯絡人裝置的驗證訊號時,會向主叫方的聯絡人裝置發送交叉查核請求——若聯絡人裝置回應「目前沒有進行中的通話」,用戶立即收到掛斷警告。整個驗證流程在通話進行的同時靜默完成,不需要用戶操作。
設計考量
Google 選擇 RCS 作為驗證通道有幾個技術原因。RCS 是開放標準,讓其他電話應用和裝置製造商可以採用相同協定,避免與 iMessage 式封閉系統相同的生態孤島問題。驗證訊號端對端加密,Google 伺服器不儲存通話配對資訊,隱私影響最小化。功能依賴雙方都使用 RCS 能力的 Phone by Google——當被叫方使用不同應用或對方使用非 RCS 系統時,功能不啟用,不影響一般通話體驗。
影響範圍
AI 語音深偽(deepfake voice)成本在過去兩年大幅下降,攻擊者可用少量語音樣本克隆目標聲音,用於冒充家人或同事的緊急求助詐騙。這類攻擊的防禦難點在於語音內容本身難以即時驗證——人類無法可靠辨識高品質深偽語音。RCS 握手機制繞過了語音分析,改以「對方裝置是否確實存在且在線」作為驗證維度,提供了與 AI 深偽語音的技術路徑無關的防護機制。
原始來源:Google Blog
追蹤歐洲上空的 GNSS 干擾源:俄羅斯 Molniya 軌道衛星群
arXiv:2606.03673 · NAVIGATION 期刊投稿 · 2026-06-02
德克薩斯大學奧斯汀分校的 Zachary L. Clements、Argyris Kriezis 與 Todd E. Humphreys 於 arXiv 發表論文,確認一個影響歐洲大陸、格陵蘭與加拿大的廣域瞬時 GNSS 干擾源——俄羅斯閃電(Molniya)軌道早期預警衛星星座。這是首次使用陸地 GNSS 參考站網路對空基干擾源進行系統性追蹤的研究。
研究方法
研究者建立了一個結合接收功率偵測框架(received-power-based detection)與到達時差(TDOA)定位的分析方法,使用 2019 至 2026 年的陸地 GNSS 參考站網路資料。當多個地面站在時間相關聯的功率突降事件中同步受影響時,TDOA 演算法利用各站點的信號延遲差異對干擾源進行三角定位。
Molniya 軌道是一種高度橢圓軌道(HEO),遠地點在北半球上方停留時間長,設計用於服務高緯度地區——這恰好解釋了為何干擾呈現出對歐洲大陸、格陵蘭和加拿大北部的集中分佈,並隨衛星軌道運動呈現規律的時間模式。
技術影響
空基 GNSS 干擾源相較陸基干擾具有本質上不同的威脅特性:陸基干擾器的有效半徑通常在數十公里以內,而衛星軌道高度使干擾信號可覆蓋大陸尺度的地理範圍,且無法透過地理封鎖的方式消除。研究者強調,現有的 GNSS 干擾偵測基礎設施主要為陸基干擾設計,缺乏對空基、廣域間歇性干擾的系統性偵測能力。
論文進一步指出,這類干擾的間歇性與廣域性使其在民用航空 GNSS 依賴度持續提升的背景下構成不對稱的基礎設施威脅——低成本的在軌衛星可產生難以歸因且難以反制的廣域效果,而受影響方的應對成本遠高於干擾方的部署成本。
原始來源:arXiv:2606.03673