CVE-2021-32818

Versões do haml-coffee anteriores à 1.14.1

O haml-coffee é uma solução de modelagem de JavaScript que combina dados de modelo puros com opções de configuração do mecanismo por meio da API de renderização do Express. Ele permite a substituição de uma série de funções auxiliares de HTML por meio de suas opções de configuração. Um aplicativo vulnerável que passe objetos de solicitação controlados pelo usuário para o mecanismo de modelos do haml-coffee pode introduzir vulnerabilidades de execução remota de código (RCE). Além disso, o controle sobre o parâmetro escapeHtml por meio da contaminação da configuração do modelo garante que o haml-coffee não sanitize as entradas do modelo, o que pode resultar em ataques de Cross Site Scripting refletidos contra aplicativos a jusante.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.