CVE-2021-21316

Versões do less-openui5 anteriores à 0.10.0

O problema surge ao processar recursos de temas, como arquivos *.less, com o less-openui5 que se originam de uma fonte não confiável. Esses recursos podem conter código JavaScript que será executado no contexto do processo de compilação. Esse comportamento é uma característica da biblioteca Less.js, mas é inesperado no contexto do desenvolvimento do OpenUI5 e do SAPUI5. Um invasor poderia criar uma biblioteca ou biblioteca de temas com código JavaScript malicioso em um dos arquivos .less. A partir da versão 3.0.0 do Less.js, o recurso Inline JavaScript está desativado por padrão, mas o less-openui5 usa um fork do Less.js v1.6.3. Desativar o recurso Inline JavaScript nas versões 1.x do Less.js ainda avalia o código com códigos duplos adicionais ao redor dele.

Para versões anteriores à 0.10.0, atualize para a versão 0.10.0 ou posterior para remover completamente o recurso de avaliação de JavaScript inline do código do fork do Less.js.

Como solução alternativa temporária, considere processar apenas recursos de temas confiáveis até que o problema seja resolvido.