Nome do software vulnerável e versões afetadas:

Zend Framework 2 (versões afetadas não especificadas)

Descrição:

O problema decorre do uso do auxiliar de visualização escapeHtml() em vez do mais apropriado escapeHtmlAttr() para escapar atributos HTML em vários auxiliares de visualização do Zend Framework 2. Isso pode levar a potenciais vetores de ataque de script entre sites (XSS) quando dados do usuário e/ou JavaScript são usados para preencher atributos. Os auxiliares de visualização afetados incluem todos os auxiliares de visualização ZendForm, a maioria dos auxiliares de visualização ZendNavigation, todos os auxiliares de visualização de elementos HTML, como htmlFlash(), htmlPage(), htmlQuickTime() e ZendViewHelperGravatar.

Recomendações:

Para todas as versões afetadas, considere atualizar os auxiliares de visualização para usar escapeHtmlAttr() em vez de escapeHtml() para escapar corretamente os atributos HTML e mitigar o risco de ataques XSS.

Como solução temporária, considere restringir a entrada do usuário e validar os dados usados nos atributos para minimizar o risco de exploração.

Restrinja o acesso aos auxiliares de visualização vulneráveis, como aqueles em ZendForm, ZendNavigation e os auxiliares de visualização de elementos HTML, para minimizar o risco de exploração até que uma correção adequada seja aplicada.