Vulnerability Details CVE-2023-41167
@webiny/react-rich-text-renderer before 5.37.2 allows XSS attacks by content managers. This is a react component to render data coming from Webiny Headless CMS and Webiny Form Builder. Webiny is an open-source serverless enterprise CMS. The @webiny/react-rich-text-renderer package depends on the editor.js rich text editor to handle rich text content. The CMS stores rich text content from the editor.js into the database. When the @webiny/react-rich-text-renderer is used to render such content, it uses the dangerouslySetInnerHTML prop, without applying HTML sanitization. The issue arises when an actor, who in this context would specifically be a content manager with access to the CMS, inserts a malicious script as part of the user-defined input. This script is then injected and executed within the user's browser when the main page or admin page loads.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.002
EPSS Ranking 47.5%
CVSS Severity
CVSS v3 Score 4.8
References
Products affected by CVE-2023-41167
-
cpe:2.3:a:webiny:webiny:-
-
cpe:2.3:a:webiny:webiny:1.0.0
-
cpe:2.3:a:webiny:webiny:1.1.0
-
cpe:2.3:a:webiny:webiny:1.10.0
-
cpe:2.3:a:webiny:webiny:1.10.1
-
cpe:2.3:a:webiny:webiny:1.10.2
-
cpe:2.3:a:webiny:webiny:1.10.3
-
cpe:2.3:a:webiny:webiny:1.10.4
-
cpe:2.3:a:webiny:webiny:1.10.5
-
cpe:2.3:a:webiny:webiny:1.11.0
-
cpe:2.3:a:webiny:webiny:1.12.0
-
cpe:2.3:a:webiny:webiny:1.12.1
-
cpe:2.3:a:webiny:webiny:1.12.2
-
cpe:2.3:a:webiny:webiny:1.12.3
-
cpe:2.3:a:webiny:webiny:1.12.4
-
cpe:2.3:a:webiny:webiny:1.12.5
-
cpe:2.3:a:webiny:webiny:1.12.6
-
cpe:2.3:a:webiny:webiny:1.12.7
-
cpe:2.3:a:webiny:webiny:1.13.0
-
cpe:2.3:a:webiny:webiny:1.13.1
-
cpe:2.3:a:webiny:webiny:1.14.0
-
cpe:2.3:a:webiny:webiny:1.14.1
-
cpe:2.3:a:webiny:webiny:1.14.2
-
cpe:2.3:a:webiny:webiny:1.15.0
-
cpe:2.3:a:webiny:webiny:1.15.1
-
cpe:2.3:a:webiny:webiny:1.2.0
-
cpe:2.3:a:webiny:webiny:1.3.0
-
cpe:2.3:a:webiny:webiny:1.4.0
-
cpe:2.3:a:webiny:webiny:1.5.0
-
cpe:2.3:a:webiny:webiny:1.5.1
-
cpe:2.3:a:webiny:webiny:1.6.0
-
cpe:2.3:a:webiny:webiny:1.7.0
-
cpe:2.3:a:webiny:webiny:1.8.0
-
cpe:2.3:a:webiny:webiny:1.8.1
-
cpe:2.3:a:webiny:webiny:1.9.0
-
cpe:2.3:a:webiny:webiny:4.0.0
-
cpe:2.3:a:webiny:webiny:4.0.1
-
cpe:2.3:a:webiny:webiny:4.0.2
-
cpe:2.3:a:webiny:webiny:4.1.0
-
cpe:2.3:a:webiny:webiny:4.10.0
-
cpe:2.3:a:webiny:webiny:4.11.0
-
cpe:2.3:a:webiny:webiny:4.12.0
-
cpe:2.3:a:webiny:webiny:4.12.1
-
cpe:2.3:a:webiny:webiny:4.13.0
-
cpe:2.3:a:webiny:webiny:4.14.0
-
cpe:2.3:a:webiny:webiny:4.2.0
-
cpe:2.3:a:webiny:webiny:4.3.0
-
cpe:2.3:a:webiny:webiny:4.3.1
-
cpe:2.3:a:webiny:webiny:4.4.0
-
cpe:2.3:a:webiny:webiny:4.5.0
-
cpe:2.3:a:webiny:webiny:4.5.1
-
cpe:2.3:a:webiny:webiny:4.6.0
-
cpe:2.3:a:webiny:webiny:4.7.0
-
cpe:2.3:a:webiny:webiny:4.8.0
-
cpe:2.3:a:webiny:webiny:4.9.0
-
cpe:2.3:a:webiny:webiny:5.0.0
-
cpe:2.3:a:webiny:webiny:5.1.0
-
cpe:2.3:a:webiny:webiny:5.10.0
-
cpe:2.3:a:webiny:webiny:5.11.0
-
cpe:2.3:a:webiny:webiny:5.11.1
-
cpe:2.3:a:webiny:webiny:5.12.0
-
cpe:2.3:a:webiny:webiny:5.13.0
-
cpe:2.3:a:webiny:webiny:5.14.0
-
cpe:2.3:a:webiny:webiny:5.15.0
-
cpe:2.3:a:webiny:webiny:5.16.0
-
cpe:2.3:a:webiny:webiny:5.17.0
-
cpe:2.3:a:webiny:webiny:5.17.1
-
cpe:2.3:a:webiny:webiny:5.17.2
-
cpe:2.3:a:webiny:webiny:5.17.3
-
cpe:2.3:a:webiny:webiny:5.17.4
-
cpe:2.3:a:webiny:webiny:5.18.0
-
cpe:2.3:a:webiny:webiny:5.18.1
-
cpe:2.3:a:webiny:webiny:5.18.2
-
cpe:2.3:a:webiny:webiny:5.18.3
-
cpe:2.3:a:webiny:webiny:5.19.0
-
cpe:2.3:a:webiny:webiny:5.19.1
-
cpe:2.3:a:webiny:webiny:5.2.0
-
cpe:2.3:a:webiny:webiny:5.2.1
-
cpe:2.3:a:webiny:webiny:5.20.0
-
cpe:2.3:a:webiny:webiny:5.21.0
-
cpe:2.3:a:webiny:webiny:5.22.0
-
cpe:2.3:a:webiny:webiny:5.22.1
-
cpe:2.3:a:webiny:webiny:5.23.0
-
cpe:2.3:a:webiny:webiny:5.23.1
-
cpe:2.3:a:webiny:webiny:5.24.0
-
cpe:2.3:a:webiny:webiny:5.25.0
-
cpe:2.3:a:webiny:webiny:5.26.0
-
cpe:2.3:a:webiny:webiny:5.27.0
-
cpe:2.3:a:webiny:webiny:5.28.0
-
cpe:2.3:a:webiny:webiny:5.29.0
-
cpe:2.3:a:webiny:webiny:5.3.0
-
cpe:2.3:a:webiny:webiny:5.30.0
-
cpe:2.3:a:webiny:webiny:5.31.0
-
cpe:2.3:a:webiny:webiny:5.32.0
-
cpe:2.3:a:webiny:webiny:5.33.0
-
cpe:2.3:a:webiny:webiny:5.33.1
-
cpe:2.3:a:webiny:webiny:5.33.2
-
cpe:2.3:a:webiny:webiny:5.33.3
-
cpe:2.3:a:webiny:webiny:5.33.4
-
cpe:2.3:a:webiny:webiny:5.33.5
-
cpe:2.3:a:webiny:webiny:5.34.0
-
cpe:2.3:a:webiny:webiny:5.34.1
-
cpe:2.3:a:webiny:webiny:5.34.2
-
cpe:2.3:a:webiny:webiny:5.34.3
-
cpe:2.3:a:webiny:webiny:5.34.4
-
cpe:2.3:a:webiny:webiny:5.34.5
-
cpe:2.3:a:webiny:webiny:5.34.6
-
cpe:2.3:a:webiny:webiny:5.34.7
-
cpe:2.3:a:webiny:webiny:5.34.8
-
cpe:2.3:a:webiny:webiny:5.35.0
-
cpe:2.3:a:webiny:webiny:5.35.1
-
cpe:2.3:a:webiny:webiny:5.35.2
-
cpe:2.3:a:webiny:webiny:5.35.3
-
cpe:2.3:a:webiny:webiny:5.36.0
-
cpe:2.3:a:webiny:webiny:5.36.1
-
cpe:2.3:a:webiny:webiny:5.37.0
-
cpe:2.3:a:webiny:webiny:5.37.1
-
cpe:2.3:a:webiny:webiny:5.4.0
-
cpe:2.3:a:webiny:webiny:5.5.0
-
cpe:2.3:a:webiny:webiny:5.6.0
-
cpe:2.3:a:webiny:webiny:5.7.0
-
cpe:2.3:a:webiny:webiny:5.8.0
-
cpe:2.3:a:webiny:webiny:5.9.0