js · fabricAtenção
fabric: vulnerabilidade XSS em fabric.Gradient.colorStops via toSVG()
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Fabric.
O que mudou
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no Fabric.js: o campo `color` em `fabric.Gradient.colorStops` não é escapado corretamente durante a serialização SVG via `toSVG()`, permitindo injeção de HTML/SVG arbitrário.
Quem isso afeta
Aplicações que usam Fabric.js, permitem entrada controlada pelo usuário em valores de cor de gradiente e inserem a string SVG gerada no DOM sem sanitização.
O que fazer hoje
Atualize o Fabric.js para uma versão corrigida assim que disponível, ou sanitize a saída SVG antes de inseri-la no DOM.
A esteira
Coletado→
Auditado→
Redigido→
Publicado