Alextrob

**Nome do software vulnerável e versões afetadas** Versões do Leafkit anteriores à 1.3.0 **Descrição** O Leafkit é uma linguagem de modelos com sintaxe inspirada no Swift. A vulnerabilidade afeta qualquer usuário que passe dados não sanitizados para as tags de variáveis do Leaf. Antes da correção, o Leaf não escapava nenhuma string passada para as tags como variáveis. Se um invasor conseguisse encontrar uma variável que fosse renderizada com seus dados não sanitizados, ele poderia injetar scripts em uma página Leaf gerada, o que poderia permitir ataques de Cross-site Scripting (XSS) caso outras medidas de mitigação, como uma Política de Segurança de Conteúdo, não estivessem habilitadas. **Recomendações** Para versões anteriores à 1.3.0, atualize para a versão 1.3.0 para resolver o problema. Como solução temporária, sanitize qualquer entrada não confiável antes de passá-la para o Leaf e habilite uma Política de Segurança de Conteúdo para bloquear scripts inline e dados CSS.