Visvge

**Nome do Software Vulnerável e Versões Afetadas** Versões do Pannellum de 2.5.6 a 3.5.0 **Descrição** O Pannellum é um visualizador de panorama para a web. As versões de 2.5.6 a 3.5.0 possuem uma falha na qual a propriedade de configuração de atributos de hot spot permite definir qualquer atributo, incluindo atributos de manipulador de eventos HTML, potencialmente levando a ataques de cross-site scripting (XSS). Isso impacta sites que hospedam o arquivo HTML do visualizador autônomo e qualquer uso de arquivos de configuração JSON não confiáveis. Determinados eventos podem acionar a vulnerabilidade sem interação do usuário, permitindo a execução de código JavaScript arbitrário ao visitar uma URL que aponta para um arquivo de configuração malicioso. Isso poderia resultar na substituição do conteúdo da página, fazendo com que pareça hospedado pelo site que hospeda o arquivo HTML do visualizador. O problema está sendo ativamente explorado para ataques de phishing relacionados a criptomoedas. O endpoint da API `pannellum.htm` é afetado. O parâmetro vulnerável é o arquivo de configuração. **Recomendações** Atualize para a versão 2.5.7 ou posterior do Pannellum. Defina o cabeçalho Content-Security-Policy para script-src-attr 'none' para bloquear a execução de manipuladores de eventos inline. Não hospede `pannellum.htm` em um domínio que compartilhe cookies com autenticação de usuário para mitigar o risco de XSS.