Lzychowski

**Nome do software vulnerável e versões afetadas** auth0-lock versões 11.30.0 e anteriores **Descrição** O problema diz respeito a um ataque XSS refletido. Um invasor pode executar código arbitrário quando o recurso `flashMessage` da biblioteca é utilizado e a entrada do usuário ou dados de parâmetros de URL são incorporados ao `flashMessage`, ou quando o recurso `languageDictionary` da biblioteca é utilizado e a entrada do usuário ou dados de parâmetros de URL são incorporados ao `languageDictionary`. **Recomendações** Para as versões 11.30.0 e anteriores, atualize para a versão 11.30.1 para resolver o problema. Como solução alternativa temporária, considere desativar os recursos `flashMessage` e `languageDictionary` até que um patch esteja disponível. Restrinja o acesso à entrada do usuário ou aos dados dos parâmetros da URL nesses recursos para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do auth0-lock anteriores à 11.26.3 **Descrição** A vulnerabilidade expõe os aplicativos e seus usuários a ataques de cross-site scripting (XSS) devido ao uso de `dangerouslySetInnerHTML` para atualizar o DOM. Isso ocorre quando o auth0-lock é usado com os modos de conexão Passwordless ou Enterprise, nos quais as entradas do usuário (como e-mail, número de telefone ou domínio do IdP) são exibidas de volta ao usuário. Isso pode levar a ataques de XSS. **Recomendações** Para versões anteriores à 11.26.3, atualize para a versão 11.26.3 para resolver o problema. Como solução alternativa temporária, considere evitar o uso dos modos de conexão Passwordless ou Enterprise até que a atualização seja aplicada.