Mgsypublished

**Nome do software vulnerável e versões afetadas** Versões do CKEditor 5 anteriores à 35.0.1 **Descrição** Foi descoberta uma vulnerabilidade de cross-site scripting no CKEditor 5, afetando três pacotes opcionais: `@ckeditor/ckeditor5-markdown-gfm`, `@ckeditor/ckeditor5-html-support` e `@ckeditor/ckeditor5-html-embed`. A vulnerabilidade permite a execução de código JavaScript após o cumprimento de condições específicas, incluindo o uso de um dos pacotes afetados, a destruição da instância do editor e a inicialização do editor em um elemento diferente de `<textarea>`. A causa principal é um mecanismo responsável por atualizar o elemento de origem com marcação do pipeline de dados do CKEditor 5 após a destruição do editor. Esse problema pode afetar uma pequena porcentagem de integradores que dependem da inicialização/destruição dinâmica do editor e usam recursos de Markdown, suporte geral a HTML ou incorporação de HTML. **Recomendações** Para versões anteriores à 35.0.1, atualize para a versão 35.0.1 para resolver o problema. Como solução alternativa temporária, considere evitar o uso dos pacotes afetados `@ckeditor/ckeditor5-markdown-gfm`, `@ckeditor/ckeditor5-html-support` e `@ckeditor/ckeditor5-html-embed` até que a atualização seja aplicada. Restrinja o acesso a configurações que permitam marcação insegura dentro do editor para os pacotes `ckeditor5-html-support` e `ckeditor5-html-embed`, a fim de minimizar o risco de exploração. Evite inicializar o editor em elementos que não sejam `<textarea>` e evite destruir a instância do editor, a menos que seja necessário.