Edvard Ananyan

**Nome do Software Vulnerável e Versões Afetadas** Translate Drupal with GTranslate versões 0.0.0 até 3.0.4 **Descrição** Um problema de Modificação de Dados Assumidos como Imutáveis (MAID) no módulo GTranslate permite a falsificação de localização de recursos (Resource Location Spoofing). O JavaScript do widget do módulo não valida adequadamente se o `document.currentScript` se refere ao elemento de script em execução. Isso permite que um usuário capaz de adicionar HTML a uma página faça com que os links do seletor de idiomas gerados apontem para um domínio não pretendido. Este problema é limitado a sites que utilizam versões pagas do JavaScript do widget GTranslate e configurações onde os links de idioma gerados usam valores fornecidos pelo script. A exploração requer a capacidade de adicionar HTML com atributos não permitidos pela configuração padrão do CKEditor do Drupal. **Recomendações** Atualizar para a versão 3.0.5.