Morzelowski

**Nome do Software Vulnerável e Versões Afetadas** Grav versões anteriores a 2.0.0-beta.2 **Descrição** Um usuário autenticado com permissões de edição de página pode realizar Cross-Site Scripting (XSS) armazenado ao injetar um atributo de manipulador de eventos JavaScript executável no HTML de imagens renderizadas. Isso ocorre porque os parâmetros de consulta de imagem do Markdown são convertidos em ações de mídia chamáveis, permitindo o acesso ao método de mídia público `attribute()`. Um invasor pode usar isso para definir nomes e valores de atributos HTML arbitrários em elementos de imagem gerados. Por exemplo, o uso de um parâmetro de consulta como `attribute=onload,alert(document.domain)` resulta em uma tag `<img>` com um manipulador `onload` executável. Em ambientes multiusuário, um editor com menos privilégios pode visar administradores ou revisores que visualizem o conteúdo afetado. **Recomendações** Atualize o Grav para a versão 2.0.0-beta.2 ou posterior.