CVE-2020-4054

**Nome do software vulnerável e versões afetadas:

Sanitize, versões 3.0.0 a 5.2.0

Descrição:

O problema está relacionado a medidas de proteção insuficientes na biblioteca Sanitize para Ruby, permitindo que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. Especificamente, ao usar a configuração “relaxed” do Sanitize ou uma configuração personalizada que permita certos elementos, alguns conteúdos nos elementos math ou svg podem não ser sanitizados corretamente. Isso pode levar a cross-site scripting (XSS) ou outro comportamento indesejado quando renderizado em um navegador, especialmente se a configuração permitir elementos como iframe, math, noembed, noframes, noscript, plaintext, script, style, svg ou xmp.

Recomendações:

Para as versões 3.0.0 a 5.2.0 do Sanitize, atualize para a versão 5.2.1 para resolver o problema.

Como solução temporária, considere restringir o uso da configuração “relaxed” do Sanitize ou de configurações personalizadas que permitam elementos HTML potencialmente vulneráveis até que um patch seja aplicado.