Vincenzo Di Cicco

**Nome do software vulnerável e versões afetadas** Versões do Dart SDK anteriores à 2.12.3 **Descrição** O problema está relacionado a uma lógica de validação incorreta no Dart SDK, que permite que um invasor execute um ataque XSS por meio de DOM clobbering. Especificamente, a lógica de validação em `dart:html` para a criação de nós DOM a partir de texto não sanitizava adequadamente as tags de modelo. **Recomendações** Para versões do Dart SDK anteriores à 2.12.3, atualize para a versão 2.12.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso de `dart:html` para a criação de nós DOM a partir de texto até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Dart até a 2.7.1, inclusive Versões de desenvolvimento do Dart até a 2.8.0-dev.16.0, inclusive **Descrição** O problema está relacionado à sanitização inadequada de HTML, permitindo que um invasor injete HTML ou JavaScript personalizado usando técnicas de DOM Clobbering. Isso pode levar a um ataque de cross-site scripting (XSS). O número estimado de dispositivos potencialmente afetados não foi fornecido. Não há informações sobre incidentes reais em que esse problema tenha sido explorado. **Recomendações** Atualize seu SDK do Dart para a versão 2.7.2. Atualize sua versão de desenvolvimento do Dart para a 2.8.0-dev.17.0. Se não for possível atualizar, analise a forma como utiliza as APIs afetadas e preste atenção especial aos casos em que dados fornecidos pelo usuário são usados para preencher nós do DOM. Considere usar `Element.innerText` ou `Node.text` para preencher elementos do DOM.