Unknown · Action View · CVE-2022-27777
**Nome do software vulnerável e versões afetadas**
Versões dos auxiliares de tag Action View anteriores à 5.2.7.1
Versões dos auxiliares de tag Action View anteriores à 6.0.4.8
Versões dos auxiliares de tag Action View anteriores à 6.1.5.1
Versões dos auxiliares de tag Action View anteriores à 7.0.2.4
**Descrição**
Existe uma vulnerabilidade XSS nos auxiliares de tag do Action View devido à proteção insuficiente da estrutura da página web. Isso permite que um invasor injete conteúdo se conseguir controlar a entrada em atributos específicos. O problema surge quando entradas não confiáveis são passadas como chaves de hash para atributos de tag, podendo levar a um escape inadequado e a ataques XSS. Por exemplo, em código como `check box tag(‘thename’, ‘thevalue’, false, aria: { malicious input => ‘thevalueofaria’ })`, se a variável `malicious input` contiver dados não confiáveis, isso pode levar a uma vulnerabilidade XSS.
**Recomendações**
Para versões anteriores à 5.2.7.1, atualize para a versão 5.2.7.1 ou posterior.
Para versões anteriores à 6.0.4.8, atualize para a versão 6.0.4.8 ou posterior.
Para versões anteriores à 6.1.5.1, atualize para a versão 6.1.5.1 ou posterior.
Para versões anteriores à 7.0.2.4, atualize para a versão 7.0.2.4 ou posterior.
Como solução alternativa temporária, escape os dados não confiáveis antes de usá-los como chave para métodos de tag helper.