Forbes Lindesay

**Nome do software vulnerável e versões afetadas** Versões do pug anteriores à 3.0.1 Versões do pug-code-gen anteriores à 2.0.3 **Descrição** O problema está relacionado à neutralização insuficiente de elementos especiais na saída do pré-processador HTML Pug, especificamente nas funções VisitMixin e visitMixinBlock. Isso pode permitir que um invasor remoto execute código arbitrário se conseguir controlar a opção `pretty` do compilador pug, por exemplo, inserindo um objeto fornecido pelo usuário nas entradas do modelo pug. **Recomendações** Para versões do Pug anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior. Para versões do pug-code-gen anteriores à 2.0.3, atualize para a versão 2.0.3 ou posterior. Como solução temporária, considere compilar os modelos antecipadamente antes de aplicar entradas do usuário a eles, para evitar que entradas não confiáveis sejam passadas ao Pug como a opção `pretty`.