CVE-2021-22540
XSS in Dart SDK
En resumen
El Dart SDK anterior a la versión 2.12.3 tiene una falla que permite a los atacantes inyectar scripts maliciosos mediante DOM clobbering usando etiquetas de plantilla. Esto significa que el contenido no confiable podría ejecutar código no deseado en los navegadores de los usuarios.
Detalle técnico
Un bypass en la validación de la creación de nodos DOM de dart:html no sanitiza adecuadamente etiquetas de plantilla, permitiendo ataques XSS basados en DOM clobbering. Un atacante puede crear entrada maliciosa conteniendo elementos de plantilla para inyectar JavaScript arbitrario; la explotación requiere que la aplicación procese entrada no confiable a través de la lógica de sanitización HTML vulnerable.
Resumen generado y traducido por IA a partir de la descripción oficial.
Bad validation logic in the Dart SDK versions prior to 2.12.3 allow an attacker to use an XSS attack via DOM clobbering. The validation logic in dart:html for creating DOM nodes from text did not sanitize properly when it came across template tags.
Productos afectados
Google LLC · Dart SDK¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →