Knsv

**Nome do software vulnerável e versões afetadas** Versões do Mermaid anteriores à 9.1.3 **Descrição** O Mermaid é uma ferramenta de diagramação e criação de gráficos baseada em JavaScript que utiliza definições de texto inspiradas no Markdown e um renderizador para criar e modificar diagramas complexos. Um invasor pode injetar `CSS` arbitrário no gráfico gerado, permitindo-lhe alterar o estilo de elementos fora do gráfico gerado e, potencialmente, extrair informações confidenciais usando seletores `CSS` especialmente criados. Essa vulnerabilidade pode levar à `Divulgação de Informações` por meio de seletores CSS e funções capazes de gerar solicitações HTTP, além de permitir que um invasor altere o documento de maneiras que possam levar um usuário a realizar ações indesejadas. **Recomendações** Para versões anteriores à 9.1.3, certifique-se de que a entrada do usuário seja adequadamente escapada antes de incorporá-la em blocos CSS. Como solução temporária, considere restringir o uso de `CSS` inserido pelo usuário até que um patch esteja disponível. Recomenda-se que os usuários atualizem para a versão 9.1.3 ou posterior para resolver o problema. Se a atualização não for possível, os usuários devem garantir que todas as entradas do usuário sejam devidamente sanitizadas para evitar a injeção arbitrária de `CSS`.

**Nome do software vulnerável e versões afetadas: Versões do Mermaid anteriores à 8.13.8 Descrição: O Mermaid é uma ferramenta de diagramação e criação de gráficos baseada em JavaScript que utiliza definições de texto inspiradas no Markdown e um renderizador para criar e modificar diagramas complexos. Diagramas maliciosos podem executar código JavaScript nos computadores dos usuários que os visualizam. Recomendações: Para versões anteriores à 8.13.8, atualize para a versão 8.13.8 para receber um patch. No momento, não há outras informações sobre medidas de mitigação adicionais além da atualização para a versão corrigida.

**Nome do software vulnerável e versões afetadas** Versões do Mermaid anteriores à 8.11.0 **Descrição** O problema está relacionado ao recurso antiscript do Mermaid, que permite ataques de cross-site scripting (XSS). Isso pode afetar a integridade dos dados. A vulnerabilidade pode ser explorada por um invasor remoto. **Recomendações** Para versões anteriores à 8.11.0, atualize para a versão 8.11.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso antiscript até que um patch esteja disponível.