CVE-2020-7749

Versões do osm-static-maps anteriores à 3.9.0

O problema decorre do fato de que a entrada do usuário é passada diretamente para um modelo sem o escapamento adequado, utilizando {{{ ... }}}. Isso permite que um invasor injete código HTML ou JavaScript arbitrário. Dependendo do contexto, isso pode levar a Cross-Site Scripting (XSS) se o código for exibido como HTML na página, ou a Server-Side Request Forgery (SSRF) e Local File Read se o código for renderizado no servidor usando o puppeteer.

Para versões anteriores à 3.9.0, atualize para a versão 3.9.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o uso de entradas do usuário em modelos até que um patch esteja disponível. Restrinja o acesso ao servidor do puppeteer para minimizar o risco de exploração de SSRF e leitura de arquivos locais. Evite usar a sintaxe {{{ ... }}} em modelos até que o problema seja resolvido.