CVE-2015-9544

**Nome do software vulnerável e versões afetadas:

xdLocalStorage versões 2.0.5 e anteriores

Descrição:

Foi detectada uma falha na função receiveMessage() no arquivo xdLocalStoragePostMessageApi.js, que não implementa nenhuma validação da origem das mensagens da web. Invasores remotos que consigam induzir um usuário a carregar um site malicioso podem explorar essa falha para comprometer a confidencialidade e a integridade dos dados no armazenamento local do site vulnerável por meio de mensagens da web maliciosas.

Recomendações:

Para as versões 2.0.5 e anteriores, como solução temporária, considere desativar a função receiveMessage() até que um patch esteja disponível. Restrinja o acesso ao módulo xdLocalStoragePostMessageApi.js para minimizar o risco de exploração. Evite usar a função receiveMessage() no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.