Unknown · League/Commonmark · CVE-2025-46734
**Nome do Software Vulnerável e Versões Afetadas**
league/commonmark versões 1.5.0 a 2.6.x
**Descrição**
Uma vulnerabilidade de cross-site scripting (XSS) na extensão Attributes da biblioteca league/commonmark permite que atacantes remotos insiram chamadas JavaScript maliciosas no HTML. A biblioteca fornece opções de configuração como `html input: 'strip'` e `allow unsafe links: false` para mitigar ataques XSS. No entanto, quando a Extensão Attributes está habilitada, ela introduz uma maneira para os usuários injetarem atributos HTML arbitrários em elementos via sintaxe Markdown usando chaves. Isso pode resultar na execução de código JavaScript malicioso. Por exemplo, um atacante pode injetar atributos perigosos em aplicativos usando um payload como `![](){onerror=alert(1)}`, o que resulta no seguinte HTML: `<p><img onerror="alert(1)" src="" alt="" /></p>`, fazendo com que o JavaScript seja executado imediatamente ao carregar a página.
**Recomendações**
Para as versões 1.5.0 a 2.6.x, considere desabilitar a `AttributesExtension` para usuários não confiáveis.
Para as versões 1.5.0 a 2.6.x, considere filtrar o HTML renderizado através de uma biblioteca como HTMLPurifier.
Atualize para a versão 2.7.0, que contém alterações para prevenir este vetor de ataque XSS, incluindo o bloqueio de atributos que começam com `on` por padrão, suportando uma lista de permissões explícita de atributos HTML permitidos e respeitando a opção de configuração existente `allow unsafe links` para atributos `href` e `src` adicionados manualmente.