CVE-2021-29489

**Nome do software vulnerável e versões afetadas:

Highcharts versões 8 e anteriores

Descrição:

O Highcharts JS é uma biblioteca de gráficos em JavaScript baseada em SVG. Nas versões 8 e anteriores do Highcharts, a estrutura das opções dos gráficos não era sistematicamente filtrada contra vetores de XSS. O impacto potencial era que conteúdo de fontes não confiáveis poderia executar código no navegador do usuário final. Especialmente ao usar o sinalizador useHTML, opções de string HTML seriam inseridas sem filtragem diretamente no DOM. Quando useHTML era falso, código malicioso poderia ser inserido usando vários truques de substituição de caracteres ou HTML malformado.

Recomendações:

Para as versões 8 e anteriores do Highcharts, como solução temporária, considere aplicar o DOMPurify recursivamente à estrutura de opções para filtrar marcações maliciosas.

Para uma correção permanente, atualize para a versão 9 do Highcharts, que inclui uma camada de renderização refatorada usando um DOMParser, um AST e listas de permissões de tags e HTML para garantir que apenas conteúdo seguro entre no DOM.