Nome do Software Vulnerável e Versões Afetadas: Versões 4.1.2 e anteriores do PHP-Textile

Descrição: Existe uma vulnerabilidade XSS persistente no tratamento de links de imagem do PHP-Textile ao executar o parser no modo restrito. Espera-se que este modo sanitize a entrada, permitindo o tratamento seguro dos dados fornecidos pelo usuário. No entanto, no modo restrito, a versão 4.1.2 da biblioteca falha em sanitizar ou validar a entrada de href controlável pelo usuário em links de imagem, permitindo o uso de qualquer protocolo de link ou links JavaScript. Um atacante pode adicionar código JavaScript malicioso à página, o qual é executado quando um usuário desavisado clica no link.

Recomendações: Para as versões 4.1.2 e anteriores do PHP-Textile, atualize para a versão 4.1.3, que não permite o uso de JavaScript em links de imagem quando o parser é executado no modo restrito. Para habilitar o modo restrito, utilize o método Parser::setRestricted() antes de chamar o método parse.