← voltar
CVE-2021-22540

XSS in Dart SDK

EPSS 0.7%CWE-79
Em resumo

O Dart SDK anterior à versão 2.12.3 tem uma falha que permite que atacantes injetem scripts maliciosos através de DOM clobbering usando tags de template. Isso significa que conteúdo não confiável poderia executar código indesejado nos navegadores dos usuários.

Detalhe técnico

Um bypass na validação da função dart:html de criação de nós DOM falha em sanitizar adequadamente tags de template, permitindo ataques XSS baseados em DOM clobbering. Um atacante pode criar entrada maliciosa contendo elementos de template para injetar JavaScript arbitrário; a exploração requer que a aplicação processe entrada não confiável através da lógica de sanitização HTML vulnerável.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Bad validation logic in the Dart SDK versions prior to 2.12.3 allow an attacker to use an XSS attack via DOM clobbering. The validation logic in dart:html for creating DOM nodes from text did not sanitize properly when it came across template tags.
Produtos afetados
Google LLC · Dart SDK

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/dart-lang/sdk/commit/ce5a1c2392debce967415d4c09359ff2555e3588https://github.com/dart-lang/sdk/security/advisories/GHSA-3rfv-4jvg-9522