LeafKit allows XSS with untrusted user input

El motor de plantillas LeafKit no escapaba entrada de usuario en etiquetas de variable antes de la versión 1.3.0, permitiendo que atacantes inyecten scripts maliciosos en páginas web. Si un sitio muestra datos no confiables a través de LeafKit sin sanitización adecuada, los visitantes pueden ser engañados para ejecutar código controlado por el atacante.

Vulnerabilidad de Cross-site Scripting (XSS) en LeafKit < 1.3.0 donde las etiquetas de variable no escapan la entrada proporcionada por el usuario, habilitando inyección de scripts en HTML renderizado. El vector de ataque requiere que una aplicación pase datos no sanitizados a plantillas Leaf; el impacto incluye robo de sesión, hurto de credenciales y distribución de malware si Content Security Policy no está habilitada.