CVE-2021-38193

**Nome do software vulnerável e versões afetadas:

Versões do crate ammonia anteriores à 3.1.0

Descrição:

O problema decorre de diferenças de análise mal tratadas para HTML, SVG e MathML, levando a um potencial XSS. O analisador HTML subjacente trata os elementos svg e math de maneira diferente, mesmo que não sejam permitidos, resultando em um DOM “impossível” que pode ser explorado quando serializado e desserializado. A exploração requer que o aplicativo permita tags específicas que são analisadas como texto bruto em HTML, tais como title, textarea, xmp, iframe, noembed, noframes, plaintext, noscript, style ou script. Aplicativos que não permitam explicitamente essas tags não são afetados.

Recomendações:

Para versões do crate ammonia anteriores à 3.1.0, atualize para a versão 3.1.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso das tags afetadas (title, textarea, xmp, iframe, noembed, noframes, plaintext, noscript, style, script) em aplicativos que utilizam esta biblioteca até que um patch seja aplicado.