Michał Bentkowski

Nome do software vulnerável e versões afetadas: Versões do Vite anteriores à 3.2.11 Versões do Vite anteriores à 4.5.5 Versões do Vite anteriores à 5.2.14 Versões do Vite anteriores à 5.3.6 Versões do Vite anteriores à 5.4.6 Descrição: Foi descoberta uma vulnerabilidade de tipo DOM Clobbering no Vite ao compilar scripts para os formatos de saída `cjs`/`iife`/`umd`. Essa vulnerabilidade pode levar a ataques de cross-site scripting (XSS) em sites que incluem arquivos empacotados pelo Vite e permitem que usuários injetem determinadas tags HTML sem script, sem sanitizar adequadamente os atributos name ou id. A vulnerabilidade ocorre quando um invasor incorpora um trecho de marcação HTML sem script, aparentemente inofensivo, na página da web e aproveita os gadgets (trechos de código JavaScript) presentes no código JavaScript existente para transformá-lo em código executável. A consulta a `document.currentScript` pode ser ofuscada por um invasor por meio do mecanismo de acesso a elementos nomeados da árvore DOM do navegador, permitindo que o invasor substitua o elemento de script pretendido por um elemento HTML malicioso. Isso pode resultar no carregamento dinâmico de scripts de um servidor controlado pelo invasor. Recomendações: Para versões anteriores à 3.2.11, atualize para a versão 3.2.11 ou posterior. Para versões anteriores à 4.5.5, atualize para a versão 4.5.5 ou posterior. Para versões anteriores à 5.2.14, atualize para a versão 5.2.14 ou posterior. Para versões anteriores à 5.3.6, atualize para a versão 5.3.6 ou posterior. Para versões anteriores à 5.4.6, atualize para a versão 5.4.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Webpack anteriores à 5.94.0 **Descrição** Foi descoberta uma vulnerabilidade de tipo DOM Clobbering no módulo `AutoPublicPathRuntimeModule` do Webpack. Essa vulnerabilidade pode levar a um ataque de script entre sites (XSS) em páginas da web onde estejam presentes elementos HTML controlados pelo invasor, mas sem código de script. O gadget de DOM Clobbering no módulo pode ser explorado por um invasor que incorpore uma marcação HTML sem script, aparentemente inofensiva, na página da web e utilize os gadgets presentes no código JavaScript existente para transformá-la em código executável. A exploração real desse gadget foi observada no Canvas LMS, o que permite que um ataque XSS ocorra por meio de um código JavaScript compilado pelo Webpack. Esse problema pode levar a cross-site scripting (XSS) em sites que incluem arquivos gerados pelo Webpack e permitem que usuários injetem certas tags HTML sem script com atributos de nome ou id sanitizados de forma inadequada. **Recomendações** Para resolver o problema, atualize para a versão 5.94.0 ou posterior do Webpack. Como solução temporária, considere restringir o acesso ao `AutoPublicPathRuntimeModule` até que um patch esteja disponível. Além disso, certifique-se de que todas as tags HTML inseridas pelo usuário sejam devidamente sanitizadas para evitar ataques XSS. Evite usar o atributo `name` nos endpoints da API afetados até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas: Versões do Firefox anteriores à 86 Descrição: A API DOMParser não processava corretamente os elementos ‘<noscript>’ para a conversão de caracteres, o que poderia ser usado como um vetor mXSS para contornar um sanitizador de HTML. Recomendações: Para versões do Firefox anteriores à 86, atualize para a versão 86 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da API DOMParser até que um patch esteja disponível. Evite usar a API DOMParser para processar conteúdo HTML fornecido pelo usuário que possa conter elementos ‘<noscript>’ até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Versões do Bleach anteriores à 3.3.0 **Descrição** Um ataque XSS de mutação afeta usuários que chamam `bleach.clean` com tags permitidas específicas e o argumento de palavra-chave `strip comments=False`. Essa vulnerabilidade pode permitir que um invasor remoto comprometa a confidencialidade e a integridade das informações protegidas. As tags afetadas incluem `svg`, `math`, `p`, `br`, `style`, `title`, `noscript`, `script`, `textarea`, `noframes`, `iframe` ou `xmp`. Observe que nenhuma dessas tags está entre as tags permitidas por padrão e que `strip comments` tem o valor padrão `True`. **Recomendações** Para resolver o problema, os usuários são incentivados a atualizar para a versão 3.3.0 ou superior do Bleach. Como solução alternativa temporária, modifique as chamadas `bleach.clean` para pelo menos uma das seguintes opções: * não permitir as tags `style`, `title`, `noscript`, `script`, `textarea`, `noframes`, `iframe` ou `xmp` * não permitir as tags `svg` ou `math` * não permitir as tags `p` ou `br` * definir `strip comments=True` Além disso, uma Política de Segurança de Conteúdo (Content-Security-Policy) robusta, sem `unsafe-inline` e `unsafe-eval` em `script-src`, também ajudará a mitigar o risco.

**Nome do software vulnerável e versões afetadas: Versões do HtmlSanitizer anteriores à 5.0.372 Descrição: A vulnerabilidade permite uma possível contornamento de XSS caso a tag `<style>` seja permitida. Um invasor poderia criar código HTML que inclua scripts após passar pelo sanitizador, caso a tag `<style>` tenha sido explicitamente permitida. As configurações padrão desativam a tag `<style>`, não representando risco se ela não tiver sido explicitamente permitida. Recomendações: Para versões anteriores à 5.0.372, atualize para a versão 5.0.372 para resolver o problema. Como solução temporária, considere remover a tag `<style>` do conjunto de tags permitidas até que um patch seja aplicado.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 83.0.4103.61 **Descrição** O problema está relacionado à validação insuficiente de entradas não confiáveis na área de transferência do Google Chrome, o que pode ser explorado por um invasor local para injetar scripts ou HTML arbitrários, afetando potencialmente a integridade dos dados. Isso pode ser feito por meio de conteúdos maliciosos na área de transferência. **Recomendações** Para versões anteriores à 83.0.4103.61, atualize para a versão 83.0.4103.61 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do recurso de área de transferência no Google Chrome até que a atualização seja aplicada.

**Nome do software vulnerável e versões afetadas** Versões do Google Chrome anteriores à 81.0.4044.92 **Descrição** O problema está relacionado à validação insuficiente de entradas não confiáveis na área de transferência, o que pode ser explorado por um invasor local para contornar o isolamento do site. Isso pode permitir que um invasor remoto acesse dados confidenciais devido à falta de mecanismos padrão de permissão. **Recomendações** Para versões anteriores à 81.0.4044.92, atualize para a versão 81.0.4044.92 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao conteúdo da área de transferência para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões 4.9.6 e anteriores do TinyMCE Versões 5.1.3 e anteriores do TinyMCE **Descrição** Foi descoberta uma vulnerabilidade de cross-site scripting (XSS) no analisador central e nos plug-ins `paste` e `visualchars`, permitindo a execução arbitrária de JavaScript ao inserir conteúdo especialmente criado no editor por meio da área de transferência ou de APIs. **Recomendações** Para as versões 4.9.6 e anteriores do TinyMCE, atualize para o TinyMCE 4.9.7. Para as versões 5.1.3 e anteriores do TinyMCE, atualize para o TinyMCE 5.1.4. Como solução temporária, considere desativar os plug-ins afetados. Sanitize manualmente o conteúdo usando o evento `BeforeSetContent`.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 79.0.3945.79 **Description** The issue is related to insufficient validation of untrusted input in Blink, allowing a local attacker to bypass the same origin policy via crafted clipboard content. This could potentially enable a remote attacker to gain unauthorized access to confidential data, cause a denial of service, and impact data integrity. **Recommendations** For versions prior to 79.0.3945.79, update to version 79.0.3945.79 or later to resolve the issue. At the moment, there is no information about additional mitigation measures for this specific vulnerability.

**Name of the Vulnerable Software and Affected Versions** Firefox ESR versions prior to 68.4 Firefox versions prior to 72 **Description** The issue arises when a `<style>` tag is pasted from the clipboard into a rich text editor, and the CSS sanitizer fails to escape `<` and `>` characters. Although this does not directly result in webpage injection, it can lead to an XSS vulnerability if a webpage copies the node's innerHTML and assigns it to another innerHTML. Two WYSIWYG editors have been identified with this behavior, suggesting more may exist. **Recommendations** For Firefox ESR versions prior to 68.4, update to version 68.4 or later. For Firefox versions prior to 72, update to version 72 or later. As a temporary workaround, consider disabling the use of rich text editors that exhibit this behavior until a patch is available. Restrict access to innerHTML assignments to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Firefox ESR versions prior to 68.4 Firefox versions prior to 72 **Description** The issue arises when pasting a `<style>` tag from the clipboard into a rich text editor, causing the CSS sanitizer to incorrectly rewrite a `@namespace` rule. This could lead to injection into certain types of websites, resulting in data exfiltration. The vulnerability may allow a remote attacker to impact data integrity. **Recommendations** For Firefox ESR versions prior to 68.4, update to version 68.4 or later. For Firefox versions prior to 72, update to version 72 or later.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 80.0.3987.87 **Description** The issue is related to insufficient validation of untrusted input in the Blink component of Google Chrome, which can be exploited by a remote attacker using a specially crafted HTML page to impact data integrity. This can allow a local attacker to bypass content security policy. **Recommendations** For versions prior to 80.0.3987.87, update to version 80.0.3987.87 or later to resolve the issue.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 80.0.3987.87 **Description** The issue is related to insecure privilege management in the Blink component of Google Chrome. It can be exploited by a remote attacker using a specially crafted HTML page, potentially allowing access to confidential data, disrupting data integrity, and causing a denial of service. **Recommendations** For versions prior to 80.0.3987.87, update to version 80.0.3987.87 or later to resolve the issue. As a temporary workaround, consider restricting access to untrusted HTML pages to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Google Chrome versions prior to 67.0.3396.79 **Description** The issue is related to an incorrect implementation of Content Security Policy in Google Chrome, allowing a remote attacker to bypass navigation restrictions via a crafted HTML page. This is due to the browser's failure to properly handle CRLF sequences, which can be exploited by an attacker to bypass navigation restrictions. The vulnerability affects Google Chrome and potentially other browsers like Opera, due to incorrect handling of CSP headers, allowing attackers to affect the system. **Recommendations** For Google Chrome versions prior to 67.0.3396.79, update to version 67.0.3396.79 or later to resolve the issue. For Opera, consider disabling the use of CSP headers until a patch is available. As a temporary workaround, consider restricting the use of HTML pages that could potentially exploit this issue until a patch is available.

**Name of the Vulnerable Software and Affected Versions** Firefox versions prior to 54 Firefox ESR versions prior to 52.2 Thunderbird versions prior to 52.2 **Description** The issue affects the display of certain Tibetan characters in the address bar on OS X operating systems, potentially leading to domain name spoofing attacks. This is due to the default fonts on OS X displaying some Tibetan characters as whitespace. The estimated number of potentially affected devices is not specified. **Recommendations** For Firefox versions prior to 54, update to version 54 or later. For Firefox ESR versions prior to 52.2, update to version 52.2 or later. For Thunderbird versions prior to 52.2, update to version 52.2 or later.

**Name of the Vulnerable Software and Affected Versions** Mozilla Firefox versions prior to 42.0 Firefox ESR versions prior to 38.4 **Description** The issue allows remote attackers to bypass the Same Origin Policy for an IP address origin and conduct cross-site scripting (XSS) attacks by appending whitespace characters to an IP address string. This is related to errors in security settings. **Recommendations** For Mozilla Firefox versions prior to 42.0, update to version 42.0 or later. For Firefox ESR versions prior to 38.4, update to version 38.4 or later.

**Name of the Vulnerable Software and Affected Versions** phpMyAdmin versions 3.5.x through 3.5.8.1 phpMyAdmin versions 4.0.x through 4.0.4.1 **Description** A cross-site scripting (XSS) issue allows remote authenticated users to inject arbitrary web script or HTML via a crafted SQL query that is not properly handled during the display of row information. **Recommendations** For phpMyAdmin versions 3.5.x through 3.5.8.1, update to version 3.5.8.2 or later. For phpMyAdmin versions 4.0.x through 4.0.4.1, update to version 4.0.4.2 or later.