CVE-2024-47061

Versões do @udecode/plate-core anteriores à 21.5.1 e à 36.5.9

O problema diz respeito a um recurso de longa data no Plate que permite adicionar atributos DOM personalizados a elementos ou folhas usando a propriedade attributes, o que pode ser usado para fins maliciosos, incluindo cross-site scripting (XSS) e exposição de informações. Isso pode levar à exposição dos endereços IP dos usuários e à revelação de se eles abriram um documento malicioso. O risco é particularmente relevante em aplicativos onde solicitações web para URLs arbitrárias normalmente não são permitidas. Editores do Plate que utilizam versões afetadas do @udecode/plate-core estão vulneráveis a esses ataques de exposição de informações por meio do atributo style e de outros atributos que podem causar o envio de solicitações web. Os atributos DOM mais prováveis de serem vulneráveis são href e src em links e iframes, respectivamente.

Para o Plate >= 37, especifique a lista de nomes de atributos permitidos na opção de configuração do plugin node.dangerouslyAllowAttributes para plugins personalizados.

Para o Plate < 37, especifique a lista de nomes de atributos permitidos na opção de configuração do plugin dangerouslyAllowAttributes para plugins personalizados.

Se você não conseguir atualizar para nenhuma das versões corrigidas, use uma ferramenta como patch-package ou yarn patch para remover a lógica do @udecode/plate-core que adiciona attributes a nodeProps.