He podido inyectar un evento onerror en el HTML.
En la imagen puedes ver que onerror se ha inyectado, pero nunca se dispara.
A juzgar por cómo se subrayó alert(1);" onerror="alert(1); en el valor del atributo src , puedo adivinar que esto es lo que inyectó y que se analiza como una cadena (no rompió las comillas de valor de etiqueta). Por lo tanto, probablemente tampoco haya un atributo onerror , solo el valor de alert(1);" onerror="alert(1); para el atributo data-mce-src . Para asegurarse, inspeccione el código fuente que recibe su navegador, no una representación dom formateada.
Lea otras preguntas en las etiquetas xss