Unknown · Trix Editor · CVE-2024-43368
**Nome do software vulnerável e versões afetadas**
Versões do editor Trix anteriores à 2.1.4
**Descrição**
O problema está relacionado a uma falha na correção anterior, permitindo que um invasor execute código JavaScript arbitrário no contexto da sessão do usuário ao colar código malicioso. Isso ocorre porque o editor Trix verifica apenas o tipo de conteúdo no objeto `dataTransfer` do evento de colagem e usa o conteúdo do anexo para definir o `innerHTML` do elemento do anexo, mesmo que o próprio anexo não tenha um tipo de conteúdo `text/html`. Um invasor poderia induzir um usuário a copiar e colar código malicioso, levando potencialmente a ações não autorizadas ou à divulgação de informações confidenciais.
**Recomendações**
Para resolver o problema, os usuários devem atualizar para a versão 2.1.4 ou posterior do editor Trix, que incorpora a sanitização adequada da entrada de conteúdo copiado. Além disso, aprimorar a Política de Segurança de Conteúdo (CSP) para proibir scripts embutidos pode mitigar significativamente o risco de tais vulnerabilidades. Defina políticas de CSP como `script-src ‘self’` para garantir que apenas scripts hospedados na mesma origem sejam executados e proíba explicitamente scripts embutidos usando `script-src-elem`. Se os usuários afetados puderem desativar navegadores que não suportam uma Política de Segurança de Conteúdo, essa seria uma solução alternativa eficaz para esta e todas as vulnerabilidades XSS.