CVE-2024-43368

Versões do editor Trix anteriores à 2.1.4

O problema está relacionado a uma falha na correção anterior, permitindo que um invasor execute código JavaScript arbitrário no contexto da sessão do usuário ao colar código malicioso. Isso ocorre porque o editor Trix verifica apenas o tipo de conteúdo no objeto dataTransfer do evento de colagem e usa o conteúdo do anexo para definir o innerHTML do elemento do anexo, mesmo que o próprio anexo não tenha um tipo de conteúdo text/html. Um invasor poderia induzir um usuário a copiar e colar código malicioso, levando potencialmente a ações não autorizadas ou à divulgação de informações confidenciais.

Para resolver o problema, os usuários devem atualizar para a versão 2.1.4 ou posterior do editor Trix, que incorpora a sanitização adequada da entrada de conteúdo copiado. Além disso, aprimorar a Política de Segurança de Conteúdo (CSP) para proibir scripts embutidos pode mitigar significativamente o risco de tais vulnerabilidades. Defina políticas de CSP como script-src ‘self’ para garantir que apenas scripts hospedados na mesma origem sejam executados e proíba explicitamente scripts embutidos usando script-src-elem. Se os usuários afetados puderem desativar navegadores que não suportam uma Política de Segurança de Conteúdo, essa seria uma solução alternativa eficaz para esta e todas as vulnerabilidades XSS.