Joan

**Nome do software vulnerável e versões afetadas** Versões do @udecode/plate-core anteriores à 21.5.1 e à 36.5.9 **Descrição** O problema diz respeito a um recurso de longa data no Plate que permite adicionar atributos DOM personalizados a elementos ou folhas usando a propriedade `attributes`, o que pode ser usado para fins maliciosos, incluindo cross-site scripting (XSS) e exposição de informações. Isso pode levar à exposição dos endereços IP dos usuários e à revelação de se eles abriram um documento malicioso. O risco é particularmente relevante em aplicativos onde solicitações web para URLs arbitrárias normalmente não são permitidas. Editores do Plate que utilizam versões afetadas do @udecode/plate-core estão vulneráveis a esses ataques de exposição de informações por meio do atributo `style` e de outros atributos que podem causar o envio de solicitações web. Os atributos DOM mais prováveis de serem vulneráveis são `href` e `src` em links e iframes, respectivamente. **Recomendações** Para o Plate >= 37, especifique a lista de nomes de atributos permitidos na opção de configuração do plugin `node.dangerouslyAllowAttributes` para plugins personalizados. Para o Plate < 37, especifique a lista de nomes de atributos permitidos na opção de configuração do plugin `dangerouslyAllowAttributes` para plugins personalizados. Se você não conseguir atualizar para nenhuma das versões corrigidas, use uma ferramenta como `patch-package` ou `yarn patch` para remover a lógica do @udecode/plate-core que adiciona `attributes` a `nodeProps`.

**Nome do software vulnerável e versões afetadas** Versões do @udecode/plate-media anteriores à 36.0.10 **Descrição** A vulnerabilidade afeta editores que utilizam `MediaEmbedElement` e passam `urlParsers` personalizados para o gancho `useMediaState`, permitindo potencialmente XSS caso um analisador personalizado permita a incorporação de URLs `javascript:`, `data:` ou `vbscript:`. Editores que não utilizam `urlParsers` e acessam a propriedade `url` diretamente também podem estar vulneráveis se a URL não for sanitizada. Os analisadores padrão `parseTwitterUrl` e `parseVideoUrl` não são afetados. **Recomendações** Para versões anteriores à 36.0.10, certifique-se de que quaisquer `urlParsers` personalizados não permitam que URLs `javascript:`, `data:` ou `vbscript:` sejam retornadas na propriedade `url` de seus valores de retorno. Se `url` for consumido diretamente, valide o protocolo da URL antes de passá-la para o elemento `iframe`. Atualize para a versão 36.0.10 para resolver o problema, pois ela permite apenas URLs HTTP e HTTPS durante a análise. Se estiver usando a propriedade `url` diretamente de `useMediaState` ou `element`, valide a URL você mesmo, pois essas propriedades não são sanitizadas.