CVE-2020-14000

MIT Lifelong Kindergarten Scratch: versões do scratch-vm anteriores à 0.2.0-prerelease.20200714185213

A vulnerabilidade permite a execução remota de código porque o conteúdo da URL é tratado como um script e executado como um worker quando URLs de extensão são carregadas a partir de arquivos project.json não confiáveis que contêm determinados caracteres . O código responsável é getExtensionIdForOpcode em serialization/sb3.js. Isso se deve à incompatibilidade do caractere com um mecanismo de proteção em versões mais antigas, nas quais as URLs eram divididas, impedindo ataques de desserialização. O serviço hospedado em scratch.mit.edu não é afetado devido à ausência de scripts de worker.

Para versões anteriores à 0.2.0-prerelease.20200714185213, considere atualizar para uma versão que inclua a correção para este problema, a fim de impedir a execução remota de código. Como solução alternativa temporária, considere restringir o uso de caracteres em arquivos project.json ou desativar a execução de scripts de worker até que um patch esteja disponível.