Zend Framework 2 (versões afetadas não especificadas)

O problema decorre do uso do auxiliar de visualização escapeHtml() em vez do mais adequado escapeHtmlAttr() para escapar atributos HTML em vários auxiliares de visualização do Zend Framework 2. Isso pode levar a potenciais vetores de ataque de script entre sites (XSS), particularmente quando dados do usuário e/ou JavaScript são usados para preencher atributos. Os auxiliares de visualização afetados incluem todos os auxiliares de visualização ZendForm, a maioria dos auxiliares de visualização ZendNavigation, todos os auxiliares de visualização “Elemento HTML”, como htmlFlash(), htmlPage(), htmlQuickTime() e ZendViewHelperGravatar.

Para todas as versões afetadas, considere atualizar os auxiliares de visualização para usar escapeHtmlAttr() em vez de escapeHtml() para escapar corretamente os atributos HTML e mitigar o risco de ataques XSS.

Como solução temporária, considere restringir a entrada do usuário e validar os dados usados nos atributos HTML para minimizar o risco de exploração.

Evite usar dados do usuário e/ou JavaScript para preencher atributos nos auxiliares de visualização afetados até que o problema seja resolvido.