CVE-2024-32970

Versões do Phlex anteriores às versões corrigidas disponíveis no RubyGems

O problema é uma vulnerabilidade potencial de cross-site scripting (XSS) que pode ser explorada por meio de dados de usuário criados de forma maliciosa. Isso ocorre porque os escapes estavam funcionando conforme projetado, mas não levavam em conta o quão permissivos os navegadores são ao executar JavaScript inseguro por meio de atributos HTML. Se um link fornecido pelo usuário for usado no atributo href de uma tag <a>, ele poderá executar JavaScript quando clicado. Da mesma forma, se atributos fornecidos pelo usuário forem usados ao renderizar tags HTML ou SVG, atributos de evento maliciosos poderiam ser incluídos, executando JavaScript quando os eventos forem acionados. O projeto agora testa todos os vetores de ataque possíveis, incluindo a enumeração de todos os caracteres ASCII, e executa testes no Chrome, Firefox e Safari. Além disso, são realizados testes contra uma lista de 6.613 cargas úteis XSS conhecidas.

Para todas as versões afetadas do Phlex, recomenda-se que os usuários atualizem para uma versão corrigida disponível no RubyGems.

Como solução temporária para usuários que não possam atualizar, configure uma Política de Segurança de Conteúdo (CSP) que não permita unsafe-inline para impedir a exploração.

Para usuários que atualizarem, também é recomendável configurar um cabeçalho de Política de Segurança de Conteúdo (CSP) que não permita unsafe-inline.