K0W4Lzk1

**Nome do Software Vulnerável e Versões Afetadas** marko versões anteriores a 5.38.36 @marko/runtime-tags versões anteriores a 6.0.164 **Description** Marko é uma linguagem declarativa baseada em HTML para a construção de aplicações web. Existe uma falha onde o runtime não consegue evitar a quebra de tag quando texto dinâmico é interpolado em uma tag `<script>` ou `<style>` e a tag de fechamento utiliza letras maiúsculas. Como o analisador do navegador trata os nomes das tags HTML como insensíveis a maiúsculas e minúsculas, um invasor pode usar tags com caixa mista, como `</SCRIPT>` ou `</sTyLe>`, para burlar as expressões regulares sensíveis a maiúsculas e minúsculas utilizadas pelo framework. Isso permite que o invasor encerre o contexto de script ou estilo e injete HTML ou JavaScript arbitrário, resultando em cross-site scripting. Este problema afeta especificamente templates que interpolam explicitamente dados não confiáveis dentro desses blocos. **Recommendations** Atualize o marko para a versão 5.38.36. Atualize o @marko/runtime-tags para a versão 6.0.164. Como medida paliativa temporária, realize a sanitização prévia de dados não confiáveis, normalizando `</script` e `</style` (incluindo variantes de caixa mista) antes da interpolação, ou evite a interpolação direta de valores não confiáveis dentro de tags `<script>` ou `<style>`.