CVE-2024-40631

Versões do @udecode/plate-media anteriores à 36.0.10

A vulnerabilidade afeta editores que utilizam MediaEmbedElement e passam urlParsers personalizados para o gancho useMediaState, permitindo potencialmente XSS caso um analisador personalizado permita a incorporação de URLs javascript:, data: ou vbscript:. Editores que não utilizam urlParsers e acessam a propriedade url diretamente também podem estar vulneráveis se a URL não for sanitizada. Os analisadores padrão parseTwitterUrl e parseVideoUrl não são afetados.

Para versões anteriores à 36.0.10, certifique-se de que quaisquer urlParsers personalizados não permitam que URLs javascript:, data: ou vbscript: sejam retornadas na propriedade url de seus valores de retorno. Se url for consumido diretamente, valide o protocolo da URL antes de passá-la para o elemento iframe. Atualize para a versão 36.0.10 para resolver o problema, pois ela permite apenas URLs HTTP e HTTPS durante a análise. Se estiver usando a propriedade url diretamente de useMediaState ou element, valide a URL você mesmo, pois essas propriedades não são sanitizadas.