CVE-2025-27109

Nome do Software Vulnerável e Versões Afetadas versões do solid-js anteriores à 1.9.4

Descrição O problema diz respeito à falta de escape em expressões Inserts/JSX dentro de fragmentos JSX inline ilegais, permitindo que entradas do usuário sejam renderizadas como HTML quando colocadas diretamente dentro de fragmentos JSX. Isso pode levar a ataques XSS. Por exemplo, um parâmetro de URL como ?text=<svg/onload=alert(1)> poderia desencadear um ataque XSS. O problema foi corrigido na versão 1.9.4.

Recomendações Para resolver o problema, atualize para a versão 1.9.4 ou posterior. Como solução alternativa temporária, considere validar e sanitizar a entrada do usuário para prevenir ataques XSS. Restrinja o acesso aos componentes vulneráveis até que o problema seja resolvido.