CVE-2024-38527

Versões do ZenUML anteriores à 3.23.25

O recurso de comentários na sintaxe de diagramas do ZenUML está suscetível a Cross-site Scripting (XSS) devido à falta de sanitização do texto Markdown antes da renderização. Isso permite que um invasor insira uma carga maliciosa no comentário, levando à execução arbitrária de JavaScript ao renderizar diagramas controlados pelo usuário. A vulnerabilidade coloca em risco as aplicações existentes que utilizam o ZenUML fora do ambiente sandbox.

Para versões anteriores à 3.23.25, atualize para a versão 3.23.25 ou posterior para resolver o problema. Como solução alternativa temporária, considere desativar o recurso de comentários ou restringir o uso de recursos de Markdown nos comentários para minimizar o risco de exploração. Evite usar entradas de usuário não sanitizadas nos comentários até que o problema seja resolvido.