CVE-2024-29191

gotortc versões 1.8.5 e anteriores

O problema está relacionado a cross-site scripting baseado em DOM. A página de links (links.html) acrescenta o parâmetro GET src ([0]) em todos os seus links para visualizações com um clique. O contexto em que src está sendo anexado é innerHTML ([1]), o que inserirá o texto como HTML.

Para as versões 1.8.5 e anteriores, aplique o patch do commit 3b3d5b033aac3a019af64f83dec84f70ed2c8aba para resolver o problema. Como solução alternativa temporária, considere restringir o uso da página links.html ou desativar o recurso de visualização com um clique até que o patch seja aplicado. Evite usar o parâmetro src nos links afetados até que o problema seja resolvido.