CVE-2021-21283

**Nome do software vulnerável e versões afetadas:

Extensão Flarum Sticky, versões 0.1.0-beta.14 a 0.1.0-beta.15

Descrição:

A extensão Flarum Sticky apresenta uma vulnerabilidade de script entre sites (XSS). Uma alteração na versão beta 14 fez com que o conteúdo em texto simples da primeira postagem de uma discussão fixada fosse injetado como HTML na lista de discussões. Qualquer código HTML seria injetado por meio do helper m.trust(), resultando em uma injeção de HTML em que as tags <script> não seriam executadas, mas era possível executar JavaScript a partir de outros atributos HTML, permitindo que um ataque de script entre sites (XSS) fosse realizado. Como a exploração ocorre apenas com a primeira postagem de uma discussão fixada, um invasor precisaria ter a capacidade de fixar sua própria discussão ou ser capaz de editar uma discussão que já tivesse sido fixada anteriormente. Em fóruns onde todas as postagens fixadas são criadas pela equipe, você pode ter relativa certeza de que a vulnerabilidade não foi explorada. Fóruns onde algumas discussões criadas por usuários foram fixadas podem verificar a data de edição da primeira postagem para descobrir se a vulnerabilidade pode ter sido explorada.

Recomendações:

Para as versões 0.1.0-beta.14 e 0.1.0-beta.15, atualize para a versão v0.1.0-beta.16 ou v0.1.0-beta.15.1 da extensão Sticky.

Como solução temporária, considere desativar a extensão Sticky até que um patch esteja disponível.