CVE-2024-47186

Versões do Filament 3.0.0 a 3.2.114

O problema é uma vulnerabilidade de cross-site scripting (XSS). Se os valores passados para um ColorColumn ou ColumnEntry não forem válidos e contiverem um conjunto específico de caracteres, os aplicativos ficam vulneráveis a ataques XSS contra um usuário que abra uma página na qual uma coluna de cor ou entrada seja renderizada. Isso ocorre porque o Laravel não escapa caracteres especiais dentro da diretiva Blade @style, permitindo que JavaScript arbitrário seja executado se uma entrada maliciosa for armazenada no banco de dados.

Para as versões 3.0.0 a 3.2.114, atualize para a versão 3.2.115 do Filament para corrigir o problema. Como solução temporária, considere validar cores e escapar caracteres especiais ao gerar estilos inline para evitar ataques XSS. Além disso, restrinja o uso de ColorColumn e ColumnEntry até que a atualização seja aplicada.