Grimhacker

**Nome do software vulnerável e versões afetadas** xdLocalStorage versões 2.0.5 e anteriores **Descrição** Foi detectada uma falha na função `postData()` no arquivo `xdLocalStoragePostMessageApi.js`, que define o curinga (`*`) como `targetOrigin` ao chamar a função `postMessage()` no objeto pai. Isso permite que qualquer domínio carregue o aplicativo que hospeda o “iframe mágico” e receba as mensagens que o “iframe mágico” envia. **Recomendações** Para as versões 2.0.5 e anteriores, considere desativar a função `postData()` no `xdLocalStoragePostMessageApi.js` até que um patch esteja disponível para impedir que qualquer domínio receba mensagens do “iframe mágico”. Restrinja o acesso ao “iframe mágico” para minimizar o risco de exploração. Evite usar o curinga (`*`) como `targetOrigin` na função `postMessage()` para impedir que domínios não autorizados recebam mensagens.

**Nome do software vulnerável e versões afetadas** xdLocalStorage versões 2.0.5 e anteriores **Descrição** Foi descoberta uma falha na função `buildMessage()` no xdLocalStorage.js, que especifica o curinga (*) como `targetOrigin` ao chamar a função `postMessage()` no objeto iframe. Isso permite que qualquer domínio atualmente carregado dentro do iframe receba as mensagens enviadas pelo cliente. **Recomendações** Para as versões 2.0.5 e anteriores, considere restringir o acesso à função `buildMessage()` no xdLocalStorage.js até que uma correção esteja disponível. Como solução temporária, evite usar o curinga (*) como `targetOrigin` ao chamar a função `postMessage()` no objeto iframe para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.