CVE-2021-23342

Versões do docsify anteriores à 4.12.0

A vulnerabilidade permite contornar medidas de correção anteriores, possibilitando a execução de JavaScript malicioso por meio de dois métodos. Primeiro, ao analisar HTML de URLs remotas, o código HTML da página principal é sanitizado, mas essa sanitização não ocorre na barra lateral. Segundo, a verificação externa isURL pode ser contornada pela inserção de caracteres //// adicionais.

Para versões anteriores à 4.12.0, atualize para a versão 4.12.0 ou posterior para resolver o problema. Como solução temporária, considere desativar a análise de HTML de URLs remotas ou restringir o uso da barra lateral até que um patch esteja disponível. Evite usar a verificação externa isURL com URLs que contenham vários caracteres //// até que o problema seja resolvido.