Welle

**Nome do software vulnerável e versões afetadas** Versões do Excalidraw 0.16.x a 0.17.5 Versão 0.16.3 e anteriores do Excalidraw **Descrição** Uma vulnerabilidade de XSS armazenado no componente incorporável na web do Excalidraw permite que código JavaScript arbitrário seja executado no contexto do domínio onde o editor está hospedado. Havia dois vetores: um renderizando uma string não confiável como `srcdoc` do iframe sem sanitização adequada contra injeção de HTML, e o outro por sanitização inadequada contra injeção de HTML em atributos. Isso, em conjunto com a ativação do sinalizador de sandbox `allow-same-origin`, resultou no XSS. **Recomendações** Para as versões 0.16.x a 0.17.5 do Excalidraw, atualize para a versão 0.17.6 ou 0.16.4 para corrigir a vulnerabilidade. Para a versão 0.16.3 e anteriores do Excalidraw, atualize para a versão 0.16.4 para corrigir a vulnerabilidade. Como solução temporária, considere desativar o componente incorporável na web até que um patch esteja disponível. Restrinja o acesso ao atributo `srcdoc` de iframes para minimizar o risco de exploração. Evite usar o sinalizador de sandbox `allow-same-origin`, a menos que seja necessário, e siga o princípio do privilégio mínimo.