Sudi

Nome do software vulnerável e versões afetadas: Versões do editor Trix anteriores à 2.1.9 e à 1.3.3 Descrição: O problema diz respeito a ataques de cross-site scripting (XSS) e de mutação XSS ao colar código malicioso. Um invasor poderia induzir um usuário a copiar e colar código malicioso, levando à execução de código JavaScript arbitrário dentro da sessão do usuário. Isso poderia resultar em ações não autorizadas ou na divulgação de informações confidenciais. Recomendações: Para versões anteriores à 2.1.9, atualize para a versão 2.1.9 ou posterior, que utiliza o DOMPurify para sanitizar o conteúdo colado. Para versões anteriores à 1.3.3, atualize para a versão 1.3.3 ou posterior. Como medida de mitigação, considere proibir navegadores que não suportem uma Política de Segurança de Conteúdo e defina políticas como script-src ‘self’ para garantir que apenas scripts da mesma origem sejam executados, além de proibir scripts inline usando script-src-elem.