CVE-2024-47882

Versões do OpenRefine anteriores à 3.8.3

A página de erro integrada no OpenRefine exibe a mensagem de exceção e o rastreamento da exceção sem escapar as tags HTML, permitindo a injeção de código na página caso um invasor consiga provocar um erro com uma mensagem manipulada por ele. Isso pode ocorrer se um invasor convencer uma vítima a importar um arquivo malicioso. Extensões fora da árvore de código-fonte também podem adicionar suas próprias chamadas para respondWithErrorPage, aumentando potencialmente o risco. A vulnerabilidade permite a execução de JavaScript arbitrário no navegador da vítima caso ela importe um projeto malicioso.

Para versões do OpenRefine anteriores à 3.8.3, atualize para a versão 3.8.3 para resolver o problema. Como solução temporária, considere restringir a importação de projetos de fontes não confiáveis para minimizar o risco de exploração. Além disso, as extensões fora da árvore devem ser revisadas quanto a chamadas para respondWithErrorPage e atualizadas de acordo para evitar possíveis ataques de injeção.