PT-2020-21540 · None · Lazysizes
Publicado
2020-09-03
·
Atualizado
2020-09-03
Nenhuma
Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.
Nome do software vulnerável e versões afetadas
Versões do lazysizes anteriores à 5.2.1-rc1
Descrição
A vulnerabilidade afeta o plugin
video-embed do lazysizes, que não sanitiza adequadamente determinados atributos, incluindo data-vimeo, data-vimeoparams, data-youtube e data-ytparams. Essa falha permite que invasores executem código JavaScript arbitrário no navegador da vítima, caso tenham controle sobre esses atributos vulneráveis.Recomendações
Atualize para a versão 5.2.1-rc1 ou posterior.
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lazysizes