PT-2020-21237 · Preact · Preact

Publicado

2020-09-02

·

Atualizado

2020-09-02

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do preact anteriores à 10.0.0-beta.1
Descrição
O problema está relacionado à validação insuficiente de entradas, permitindo que invasores injetem objetos JavaScript como nós do virtual-dom, o que pode levar a um ataque de Cross-Site Scripting. Isso ocorre quando entradas do usuário analisadas com JSON.parse() são passadas diretamente para o JSX sem sanitização.
Recomendações
Atualize para a versão 10.0.0-beta.1. Como solução temporária, considere sanitizar a entrada do usuário antes de passá-la para o JSX, a fim de minimizar o risco de exploração.

Special Elements Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74

Identificadores relacionados

GHSA-CG48-9HH2-X6MX

Produtos afetados

Preact