CVE-2022-1243

Versões do medialize/uri.js anteriores à 1.19.11

O problema está relacionado ao CRHTLF, o que pode levar à extração incorreta do protocolo, resultando potencialmente em XSS. Especificamente, caracteres como r, e t em URLs inseridas pelo usuário podem causar extração incorreta do protocolo ao usar o pacote npm urijs. Isso pode ser explorado para contornar medidas de segurança destinadas a impedir que links JavaScript maliciosos sejam passados para HTML ou JavaScript. Por exemplo, um invasor poderia usar uma URL como “jar vascript:alert(1)” para executar código JavaScript malicioso.

Para versões anteriores à 1.19.11, atualize para a versão 1.19.11 ou posterior para resolver o problema. Como solução temporária, considere validar e sanitizar URLs inseridas pelo usuário para impedir a injeção de caracteres maliciosos. Além disso, restrinja o uso do módulo urijs apenas a entradas confiáveis, até que a atualização possa ser aplicada.