CVE-2023-32193

Versões da API do Norman anteriores às versões corrigidas

Foi identificada uma vulnerabilidade no endpoint da API pública do Norman, permitindo a exploração de cross-site scripting (XSS) sem autenticação. Isso pode levar um invasor a acionar código JavaScript e executar comandos remotamente. O vetor de ataque foi identificado como um XSS refletido, no qual a API propaga cargas maliciosas da entrada do usuário para a interface do usuário, renderizando a saída. Por exemplo, uma URL maliciosa pode ser renderizada em um script que é executado em uma página.

Para resolver o problema, atualize a API do Norman para uma versão corrigida, como aquelas que incluem os commits 3bb70b7, a6a6cf5, cb54924, 7b2b467 ou bd13c65. Como solução alternativa temporária, considere implementar medidas de segurança para codificar a entrada da URL de solicitação antes de adicioná-la à resposta e escapar a entrada da solicitação alterando a construção da URL para usar url.URL e escapando variáveis JavaScript e CSS com codificação de atributos.