Skip to main content

Atributos DOM arbitrarios en element.attributes y leaf.attributes en Platejs

Tendencia ahora
# Fecha
septiembre 21, 2024
# Categorías
# Siguenos



Clasificación: Grave, Solución: Arreglo oficial, Madurez del exploit: No definido, CVSSv3.1: 8.3, CVE: CVE-2024-47061, Resumen: Plate es un kit de herramientas de JavaScript que facilita el desarrollo con Slate, un popular marco para crear editores de texto. Una característica de larga data de Plate es la capacidad de agregar atributos DOM personalizados a cualquier elemento u hoja utilizando la propiedad `attributes`. Estos atributos se pasan al componente de nodo utilizando la propiedad `nodeProps`. Nos hemos dado cuenta de que esta característica se puede utilizar con fines maliciosos, incluidos los scripts entre sitios (XSS) y la exposición de información (específicamente, las direcciones IP de los usuarios y si han abierto o no un documento malicioso). Tenga en cuenta que el riesgo de exposición de información a través de atributos solo es relevante para aplicaciones en las que las solicitudes web a URL arbitrarias normalmente no están permitidas. Los editores de Plate que permiten a los usuarios incrustar imágenes desde URL arbitrarias, por ejemplo, ya conllevan el riesgo de filtrar las direcciones IP de los usuarios a terceros. Todos los editores de Plate que utilizan una versión afectada de @udecode/plate-core son vulnerables a estos ataques de exposición de información a través del atributo de estilo y otros atributos que pueden provocar el envío de solicitudes web.



Source link

Comunicaciones