Colinodell

**Nome do Software Vulnerável e Versões Afetadas** league/commonmark versões anteriores à 2.8.1 **Descrição** A extensão `DisallowedRawHtml` no league/commonmark pode ser contornada ao inserir caracteres de espaço em branco ASCII entre um nome de tag HTML não permitido e o fechamento '>'. Por exemplo, `<script >` passaria sem filtragem e seria renderizado como uma tag HTML válida pelos navegadores. Isso cria um vetor de cross-site scripting (XSS) para aplicações que dependem dessa extensão para sanitizar entradas de usuários não confiáveis. Aplicações que utilizam um sanitizador HTML dedicado, como o HTML Purifier, na saída renderizada não são afetadas. O problema decorre de uma classe de caracteres regex que não correspondia a todos os caracteres de espaço em branco aceitos pelos navegadores como terminadores válidos de nomes de tag. **Recomendações** As versões anteriores à 2.8.1 devem ser atualizadas para a versão 2.8.1 ou posterior. Como solução alternativa, defina a opção de configuração `html input` como `'escape'` ou `'strip'` para desativar todo HTML bruto. Transmita o HTML renderizado por meio de um sanitizador HTML dedicado antes de entregá-lo aos usuários.