CVE-2021-37860

**Nome do software vulnerável e versões afetadas:

Mattermost versões 5.38 e anteriores

Descrição:

O problema está relacionado à sanitização insuficiente do conteúdo da área de transferência, permitindo que um invasor, com a ajuda do usuário, injete scripts da Web arbitrários em implantações do produto nas quais a Política de Segurança de Conteúdo (CSP) padrão esteja explicitamente desativada. Isso permite que o invasor execute ataques de script entre sites.

Recomendações:

Para as versões 5.38 e anteriores do Mattermost, atualize para uma versão que inclua a correção para este problema, a fim de impedir a injeção de scripts web arbitrários. Como solução temporária, considere habilitar a CSP padrão para minimizar o risco de exploração. Restrinja o acesso ao conteúdo da área de transferência em implantações nas quais a CSP padrão esteja desativada, a fim de reduzir a superfície de ataque.