Nome do software vulnerável e versões afetadas:

Zend Framework 2 (versões afetadas não especificadas)

Descrição:

O problema decorre do uso do auxiliar de visualização escapeHtml() em vez do mais apropriado escapeHtmlAttr() para escapar atributos HTML em vários auxiliares de visualização do Zend Framework 2. Isso pode levar a potenciais vetores de ataque de script entre sites (XSS) quando dados do usuário e/ou JavaScript são usados para preencher atributos. Os auxiliares de visualização afetados incluem todos os auxiliares de visualização ZendForm, a maioria dos auxiliares de visualização ZendNavigation, todos os auxiliares de visualização de elementos HTML, como htmlFlash(), htmlPage(), htmlQuickTime() e ZendViewHelperGravatar.

Recomendações:

Para todas as versões afetadas, considere atualizar os auxiliares de visualização para usar escapeHtmlAttr() em vez de escapeHtml() para escapar corretamente os atributos HTML e mitigar o risco de ataques XSS.

Como solução temporária, considere restringir o uso de dados do usuário e/ou JavaScript na preenchimento de atributos para os auxiliares de visualização afetados até que uma atualização adequada possa ser aplicada.

Restrinja o acesso aos auxiliares de visualização vulneráveis para minimizar o risco de exploração.