Highrijkvanzanten

**Nome do software vulnerável e versões afetadas** Versões do Directus anteriores à 9.7.0 **Descrição** A vulnerabilidade permite a execução de código JavaScript não autorizado por meio da inserção de um iframe na interface HTML de texto rico, que contém um link para um arquivo HTML enviado, o qual, por sua vez, carrega outro arquivo JS enviado em sua tag script. Isso satisfaz os requisitos do cabeçalho da política de segurança de conteúdo (CSP), permitindo que o arquivo execute qualquer código JS arbitrário. **Recomendações** Para versões anteriores à 9.7.0, atualize para a versão 9.7.0 para resolver o problema. Como solução alternativa temporária, considere desativar a incorporação ao vivo no modo WYSIWYG adicionando `{ “media live embeds”: false }` à opção Options Overrides da interface HTML de texto rico.