CVE-2021-37700

Versões do @github/paste-markdown anteriores à 0.3.4

Existe uma vulnerabilidade de Cross-Site Scripting na biblioteca @github/paste-markdown. Se os dados da área de transferência contiverem a string <table>, um elemento div é criado dinamicamente, e o conteúdo da área de transferência é copiado para sua propriedade innerHTML sem qualquer sanitização, resultando na execução indevida de JavaScript no navegador da vítima. Os usuários direcionados a copiar texto de um site malicioso e colá-lo em páginas que utilizam essa biblioteca são afetados.

Para versões anteriores à 0.3.4, atualize para a versão 0.3.4 para resolver o problema.

Como solução alternativa temporária, considere implementar uma Política de Segurança de Conteúdo (CSP) que impeça o uso de unsafe-inline para reduzir a probabilidade de que essa vulnerabilidade seja explorada em navegadores modernos.