CVE-2026-42338

Nome do Software Vulnerável e Versões Afetadas ip-address versões anteriores a 10.1.1

Descrição O software não realiza a codificação HTML (HTML-escape) de conteúdo controlado por atacantes antes de incorporá-lo em strings HTML. Isso ocorre nas funções Address6.group() e Address6.link(), bem como na propriedade AddressError.parseMessage emitida pelo construtor Address6 ao lidar com entradas inválidas. Especificamente, Address6.group() permite a injeção de ID de zona, e Address6.link() é suscetível à injeção de valor de atributo por meio das variáveis prefix e className. Além disso, o caminho de erro do construtor Address6 para endereços IPv4 com zero à esquerda pode incluir conteúdo não codificado na saída do parseMessage. Aplicações que passam entradas não confiáveis para Address6 e renderizam a saída desses métodos ou a mensagem de erro como HTML (por exemplo, usando innerHTML) estão suscetíveis a cross-site scripting (XSS), uma técnica onde scripts maliciosos são injetados em sites confiáveis.

Recomendações Atualize para a versão 10.1.1. Como medida paliativa temporária, evite passar entradas não confiáveis para o construtor Address6. Como medida paliativa temporária, trate a saída de Address6.group(), Address6.link(), v6.helpers.spanAll() e o campo parseMessage de AddressError como texto simples em vez de HTML. Como medida paliativa temporária, valide a entrada usando Address6.isValid() e rejeite qualquer entrada que contenha um identificador de zona (caractere %) ou caracteres fora do intervalo [0-9a-fA-F:/] antes de passá-la para o construtor.