CVE-2024-53847

Nome do software vulnerável e versões afetadas:

Versões do editor Trix anteriores à 2.1.9 e à 1.3.3

Descrição:

O problema diz respeito a ataques de cross-site scripting (XSS) e de mutação XSS ao colar código malicioso. Um invasor poderia induzir um usuário a copiar e colar código malicioso, levando à execução de código JavaScript arbitrário dentro da sessão do usuário. Isso poderia resultar em ações não autorizadas ou na divulgação de informações confidenciais.

Recomendações:

Para versões anteriores à 2.1.9, atualize para a versão 2.1.9 ou posterior, que utiliza o DOMPurify para sanitizar o conteúdo colado.

Para versões anteriores à 1.3.3, atualize para a versão 1.3.3 ou posterior.

Como medida de mitigação, considere proibir navegadores que não suportem uma Política de Segurança de Conteúdo e defina políticas como script-src ‘self’ para garantir que apenas scripts da mesma origem sejam executados, além de proibir scripts inline usando script-src-elem.