Source |
CVE Liste |
Identifiant |
8343767 |
Date de publication |
2023-06-09 18:15:09 (vue: 2023-06-09 21:06:59) |
Titre |
CVE-2023-34245 |
Texte |
@ Udecode / Plate-Link est le gestionnaire de liens du système de plugin Udecode / plaque Rich-Text Editor pour Slate & amp;Réagir.Les versions affectées du composant du plugin de liaison et de l'interface utilisateur de liaison ne désinfectent pas les URL pour empêcher l'utilisation du schéma `javascript:`.En conséquence, les liens avec les URL JavaScript peuvent être insérés dans l'éditeur de plaques par divers moyens, notamment l'ouverture ou le collage de contenu malveillant.`@ Udecode / Plate-Link` 20.0.0 résout ce problème en introduisant une option` ALLERSCHEMES` au plugin de liaison, défautant à `[\\ 'http \', \\ 'https \', \\ 'mailto\\ ', \' tel \\ '] `.Les URL utilisant un schéma qui ne sont pas dans cette liste ne seront pas rendues au DOM.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs non en mesure de mettre à niveau sont invités à remplacer les composants «LinkElement» et «PlatefloatingLink» avec des implémentations qui vérifient explicitement le schéma URL avant de rendre des éléments d'ancrage.
@udecode/plate-link is the link handler for the udecode/plate rich-text editor plugin system for Slate & React. Affected versions of the link plugin and link UI component do not sanitize URLs to prevent use of the `javascript:` scheme. As a result, links with JavaScript URLs can be inserted into the Plate editor through various means, including opening or pasting malicious content. `@udecode/plate-link` 20.0.0 resolves this issue by introducing an `allowedSchemes` option to the link plugin, defaulting to `[\'http\', \'https\', \'mailto\', \'tel\']`. URLs using a scheme that isn\'t in this list will not be rendered to the DOM. Users are advised to upgrade. Users unable to upgrade are advised to override the `LinkElement` and `PlateFloatingLink` components with implementations that explicitly check the URL scheme before rendering any anchor elements. |
Envoyé |
Oui |
Condensat |
2023 34245 @udecode/plate `@udecode/plate `allowedschemes` `javascript:` `linkelement` `platefloatinglink` advised affected anchor any are before can check component components content cve defaulting dom editor elements explicitly handler http https implementations including inserted introducing isn issue javascript link link` links list mailto malicious means not opening option override pasting plate plugin prevent react rendered rendering resolves result rich sanitize scheme slate system tel text through udecode/plate unable upgrade url urls use users using various versions will |
Tags |
|
Stories |
|
Notes |
|
Move |
|