CVE-2024-34064

Versões do Jinja anteriores à 3.1.4

O problema está relacionado ao filtro xmlattr do Jinja, que aceita chaves contendo caracteres que não são atributos. Os atributos XML/HTML não podem conter espaços, /, > ou =, pois cada um desses caracteres seria interpretado como o início de um atributo separado. Se um aplicativo aceitar chaves como entrada do usuário e as renderizar em páginas visíveis a outros usuários, um invasor poderia usar isso para injetar outros atributos e realizar cross-site scripting (XSS). O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que esse problema tenha sido explorado.

Para versões anteriores à 3.1.4, atualize para a versão 3.1.4 ou posterior para resolver o problema.

Como solução alternativa temporária, considere validar a entrada do usuário para o filtro xmlattr a fim de impedir a injeção de caracteres que não sejam de atributo.

Restrinja o acesso ao filtro xmlattr para minimizar o risco de exploração até que o problema seja resolvido.

Evite usar o filtro xmlattr com entradas do usuário não validadas até que o problema seja resolvido.