CVE-2025-21610

Nome do Software Vulnerável e Versões Afetadas Versões do editor Trix anteriores à 2.1.12

Descrição O Trix é um editor de texto rico do tipo "o que você vê é o que você obtém" para escrita cotidiana. O problema ocorre ao colar código malicioso no campo de link, permitindo que um atacante engane o usuário para copiar e colar uma URL javascript: maliciosa como um link. Isso pode executar código JavaScript arbitrário no contexto da sessão do usuário, potencialmente levando a ações não autorizadas ou à divulgação de informações sensíveis.

Recomendações Atualize para a versão 2.1.12 ou posterior do editor Trix para receber a correção. Como solução alternativa temporária, considere bloquear navegadores que não suportam uma Política de Segurança de Conteúdo (CSP) para minimizar o risco de exploração. Configure políticas CSP, como script-src 'self', para garantir que apenas scripts hospedados na mesma origem sejam executados, e proíba explicitamente scripts inline usando script-src-elem.