CVE-2020-15092

Versões do TimelineJS anteriores à 3.7.0

Versões do plugin knight-lab-timelinejs anteriores à 3.7.0.0

A vulnerabilidade permite que um invasor execute um ataque XSS com conteúdo malicioso em vários campos de dados. Esse risco está presente independentemente de os dados de origem da linha do tempo estarem armazenados no Google Sheets ou em um arquivo de configuração JSON. Os usuários ficam expostos a essa vulnerabilidade se concederem acesso de gravação ao documento a um invasor interno mal-intencionado, se o acesso de um usuário confiável for comprometido ou se concederem acesso público de gravação ao documento. A vulnerabilidade foi corrigida na versão 3.7.0 do TimelineJS, que sanitiza o conteúdo destinado a suportar marcação HTML limitada e remove toda a marcação do conteúdo destinado à exibição de texto simples.

Para versões do TimelineJS anteriores à 3.7.0, atualize para a versão 3.7.0 ou posterior para corrigir o problema.

Para versões do plugin knight-lab-timelinejs anteriores à 3.7.0.0, atualize o plugin para a versão 3.7.0.0 ou posterior.

Como solução alternativa temporária, considere restringir o acesso de gravação à planilha do Google Sheets ou ao arquivo JSON que serve como fonte de dados para impedir a exploração.