One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8343767 |
| Date de publication | 2023-06-09 18:15:09 (vue: 2023-06-09 21:06:59) |
| Titre | CVE-2023-34245 |
| Texte | @ Udecode / Plate-Link est le gestionnaire de liens du système de plugin Udecode / plaque Rich-Text Editor pour Slate & amp;Réagir.Les versions affectées du composant du plugin de liaison et de l'interface utilisateur de liaison ne désinfectent pas les URL pour empêcher l'utilisation du schéma `javascript:`.En conséquence, les liens avec les URL JavaScript peuvent être insérés dans l'éditeur de plaques par divers moyens, notamment l'ouverture ou le collage de contenu malveillant.`@ Udecode / Plate-Link` 20.0.0 résout ce problème en introduisant une option` ALLERSCHEMES` au plugin de liaison, défautant à `[\\ 'http \', \\ 'https \', \\ 'mailto\\ ', \' tel \\ '] `.Les URL utilisant un schéma qui ne sont pas dans cette liste ne seront pas rendues au DOM.Il est conseillé aux utilisateurs de mettre à niveau.Les utilisateurs non en mesure de mettre à niveau sont invités à remplacer les composants «LinkElement» et «PlatefloatingLink» avec des implémentations qui vérifient explicitement le schéma URL avant de rendre des éléments d'ancrage.
@udecode/plate-link is the link handler for the udecode/plate rich-text editor plugin system for Slate & React. Affected versions of the link plugin and link UI component do not sanitize URLs to prevent use of the `javascript:` scheme. As a result, links with JavaScript URLs can be inserted into the Plate editor through various means, including opening or pasting malicious content. `@udecode/plate-link` 20.0.0 resolves this issue by introducing an `allowedSchemes` option to the link plugin, defaulting to `[\'http\', \'https\', \'mailto\', \'tel\']`. URLs using a scheme that isn\'t in this list will not be rendered to the DOM. Users are advised to upgrade. Users unable to upgrade are advised to override the `LinkElement` and `PlateFloatingLink` components with implementations that explicitly check the URL scheme before rendering any anchor elements. |
| Envoyé | Oui |
| Condensat | 2023 34245 @udecode/plate `@udecode/plate `allowedschemes` `javascript:` `linkelement` `platefloatinglink` advised affected anchor any are before can check component components content cve defaulting dom editor elements explicitly handler http https implementations including inserted introducing isn issue javascript link link` links list mailto malicious means not opening option override pasting plate plugin prevent react rendered rendering resolves result rich sanitize scheme slate system tel text through udecode/plate unable upgrade url urls use users using various versions will |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.