Karen Tracey

**Nome do software vulnerável e versões afetadas** Versões do Wagtail 2.13 a 2.13.1 Versões do Wagtail 2.12 a 2.12.4 Versões do Wagtail anteriores à 2.11.8 **Descrição** Existe uma vulnerabilidade de cross-site scripting quando a tag de modelo `{% include block %}` é usada para exibir o valor de um bloco StreamField de texto simples, como `CharBlock` ou `TextBlock`, sem um modelo especificado para renderização. Isso poderia permitir que usuários inserissem HTML ou scripts arbitrários, mas só pode ser explorado por usuários com acesso de “editor” ao painel de administração do Wagtail. **Recomendações** Para as versões do Wagtail 2.13 a 2.13.1, atualize para a versão 2.13.2. Para as versões do Wagtail 2.12 a 2.12.4, atualize para a versão 2.12.5. Para versões do Wagtail anteriores à 2.11.8, atualize para a versão 2.11.8. Como solução temporária para sites que não podem ser atualizados, verifique o uso de `{% include block %}` para garantir que ele não seja usado para gerar valores `CharBlock` / `TextBlock` sem um modelo associado e considere substituir a tag pela sintaxe `{{ ... }}` do Django.