CVE-2025-58172

Nome do Software Vulnerável e Versões Afetadas versões do drawnix até a 0.2.1

Descrição O drawnix é uma ferramenta de quadro branco open-source tudo-em-um. Existe uma vulnerabilidade de cross-site scripting (XSS) na funcionalidade de log de debug. Conteúdo controlado pelo usuário é inserido diretamente no DOM via innerHTML sem sanitização quando a função global drawnix web console é invocada. Especificamente, em apps/web/src/app/app.tsx, div.innerHTML = value é executado. Isso pode permitir a execução arbitrária de JavaScript no contexto da aplicação se um atacante conseguir fazer com que dados não confiáveis sejam passados para o logger de debug, potencialmente expondo dados do usuário ou permitindo ações não autorizadas.

Recomendações Atualize para a versão 0.3.0 ou posterior.