CVE-2022-31108

Versões do Mermaid anteriores à 9.1.3

O Mermaid é uma ferramenta de diagramação e criação de gráficos baseada em JavaScript que utiliza definições de texto inspiradas no Markdown e um renderizador para criar e modificar diagramas complexos. Um invasor pode injetar CSS arbitrário no gráfico gerado, permitindo-lhe alterar o estilo de elementos fora do gráfico gerado e, potencialmente, extrair informações confidenciais usando seletores CSS especialmente criados. Essa vulnerabilidade pode levar à Divulgação de Informações por meio de seletores CSS e funções capazes de gerar solicitações HTTP, além de permitir que um invasor altere o documento de maneiras que possam levar um usuário a realizar ações indesejadas.

Para versões anteriores à 9.1.3, certifique-se de que a entrada do usuário seja adequadamente escapada antes de incorporá-la em blocos CSS. Como solução temporária, considere restringir o uso de CSS inserido pelo usuário até que um patch esteja disponível. Recomenda-se que os usuários atualizem para a versão 9.1.3 ou posterior para resolver o problema. Se a atualização não for possível, os usuários devem garantir que todas as entradas do usuário sejam devidamente sanitizadas para evitar a injeção arbitrária de CSS.