CVE-2024-52286

Versões do Stirling-PDF anteriores à 0.32.0

A vulnerabilidade no Stirling-PDF permite que qualquer usuário não autenticado execute código JavaScript no contexto do usuário, devido ao fato de a funcionalidade “Merge” aceitar entradas não confiáveis do usuário (nome do arquivo) e utilizá-las diretamente na criação de páginas HTML. Isso é possível porque o nome do arquivo é inserido diretamente no InnerHTML sem sanitização, permitindo que um usuário mal-intencionado envie arquivos com nomes contendo tags HTML que podem incluir código JavaScript. Isso pode ser usado para executar código JavaScript no contexto do usuário, contando com o fato de que o próprio usuário envie o arquivo malicioso, afetando apenas a ele. Um usuário pode ser induzido por engenharia social a executar isso para lançar um ataque de phishing, violando as restrições de segurança esperadas implementadas pelo aplicativo.

Para versões anteriores à 0.32.0, atualize para a versão 0.32.0 para resolver o problema. Como solução temporária, considere restringir o uso da funcionalidade Merge até que a atualização seja aplicada. Evite usar a funcionalidade Merge com nomes de arquivos não confiáveis até que o problema seja resolvido.