Torstein Honsi

**Nome do software vulnerável e versões afetadas: Highcharts versões 8 e anteriores Descrição: O Highcharts JS é uma biblioteca de gráficos em JavaScript baseada em SVG. Nas versões 8 e anteriores do Highcharts, a estrutura das opções dos gráficos não era sistematicamente filtrada contra vetores de XSS. O impacto potencial era que conteúdo de fontes não confiáveis poderia executar código no navegador do usuário final. Especialmente ao usar o sinalizador `useHTML`, opções de string HTML seriam inseridas sem filtragem diretamente no DOM. Quando `useHTML` era falso, código malicioso poderia ser inserido usando vários truques de substituição de caracteres ou HTML malformado. Recomendações: Para as versões 8 e anteriores do Highcharts, como solução temporária, considere aplicar o DOMPurify recursivamente à estrutura de opções para filtrar marcações maliciosas. Para uma correção permanente, atualize para a versão 9 do Highcharts, que inclui uma camada de renderização refatorada usando um DOMParser, um AST e listas de permissões de tags e HTML para garantir que apenas conteúdo seguro entre no DOM.