CVE-2024-35621

Versões do Formwork anteriores à 1.13.0

Uma vulnerabilidade de cross-site scripting (XSS) permite que invasores executem scripts web ou HTML arbitrários por meio de uma carga maliciosa injetada no campo Conteúdo. Usuários com acesso ao painel de administração e permissões de edição de páginas poderiam inserir tags <script> em campos de markdown, que ficam expostos nas páginas do site acessíveis ao público, levando a possíveis injeções de XSS.

Para versões anteriores à 1.13.0, atualize para o Formwork 1.13.0 ou posterior, que inclui um patch que resolve essa vulnerabilidade ao introduzir a opção de configuração do sistema content.safe mode para controlar se tags HTML e links potencialmente perigosos são escapados.

Como solução alternativa temporária, considere restringir o acesso ao painel de administração a um grupo controlado de editores para minimizar o risco de exploração.