Ram4Nd

**Nome do Software Vulnerável e Versões Afetadas** Drupal 7 Term Reference Tree versões 7.x-1.x até 7.x-1.11 **Description** Existem dois vetores de Cross-Site Scripting (XSS) armazenado no pipeline de renderização do widget/formatter. O primeiro vetor ocorre quando o módulo Token está habilitado e os modelos de exibição de token estão configurados, fazendo com que a saída do token controlada pelo invasor, como descrições de termos, seja renderizada sem a sanitização adequada. Isso permite que usuários capazes de editar termos de taxonomia referenciados injetem HTML ou JavaScript. O segundo vetor envolve rótulos de termos de taxonomia que não são devidamente sanitizados antes de serem renderizados no widget, permitindo que usuários com permissão para criar ou editar termos de taxonomia injetem scripts no nome do termo que são executados quando um formulário contendo o widget é visualizado. **Recommendations** Atualize o Drupal 7 Term Reference Tree para uma versão posterior à 7.x-1.11.

**Nome do Software Vulnerável e Versões Afetadas** Simple Hierarchical Select (SHS) for Drupal 7 versões 7.x-1.0 até 7.x-1.10 **Descrição** Existe um risco de cross-site scripting devido à escape inadequada de texto derivado de termos na saída. Nomes de termos de taxonomia maliciosos podem ser renderizados de forma insegura dependendo do contexto de saída. Os caminhos afetados confirmados incluem a saída do formatador de campo `shs field formatter view()` e a geração de dados de termos filhos da árvore de termos `shs term get children()`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.