CVE-2024-34341

Versões do editor Trix anteriores à 2.1.1

Versões do editor Trix anteriores à 2.1.4

O editor Trix está vulnerável à execução de código arbitrário ao copiar e colar conteúdo da web ou de outros documentos com marcação no editor. Essa vulnerabilidade decorre da sanitização inadequada do conteúdo colado, permitindo que um invasor incorpore scripts maliciosos que são executados no contexto do aplicativo. Um invasor poderia explorar essa vulnerabilidade para executar código JavaScript arbitrário no contexto da sessão do usuário, levando potencialmente à realização de ações não autorizadas ou à divulgação de informações confidenciais.

Para versões do editor Trix anteriores à 2.1.1, os usuários devem atualizar para a versão 2.1.1 ou posterior do editor Trix, que incorpora a sanitização adequada da entrada de conteúdo copiado.

Para versões do editor Trix anteriores à 2.1.4, os usuários devem atualizar para a versão 2.1.4 ou posterior do editor Trix, que incorpora a sanitização adequada da entrada de conteúdo copiado.

Como solução alternativa temporária, considere aprimorar a Política de Segurança de Conteúdo (CSP) para desativar scripts embutidos, definindo políticas de CSP como script-src ‘self’ para garantir que apenas scripts hospedados na mesma origem sejam executados, e proibir explicitamente scripts embutidos usando script-src-elem.