CVE-2024-32472

Versões do Excalidraw 0.16.x a 0.17.5

Versão 0.16.3 e anteriores do Excalidraw

Uma vulnerabilidade de XSS armazenado no componente incorporável na web do Excalidraw permite que código JavaScript arbitrário seja executado no contexto do domínio onde o editor está hospedado. Havia dois vetores: um renderizando uma string não confiável como srcdoc do iframe sem sanitização adequada contra injeção de HTML, e o outro por sanitização inadequada contra injeção de HTML em atributos. Isso, em conjunto com a ativação do sinalizador de sandbox allow-same-origin, resultou no XSS.

Para as versões 0.16.x a 0.17.5 do Excalidraw, atualize para a versão 0.17.6 ou 0.16.4 para corrigir a vulnerabilidade.

Para a versão 0.16.3 e anteriores do Excalidraw, atualize para a versão 0.16.4 para corrigir a vulnerabilidade.

Como solução temporária, considere desativar o componente incorporável na web até que um patch esteja disponível.

Restrinja o acesso ao atributo srcdoc de iframes para minimizar o risco de exploração.

Evite usar o sinalizador de sandbox allow-same-origin, a menos que seja necessário, e siga o princípio do privilégio mínimo.