LeafKit allows XSS with untrusted user input

O mecanismo de templates LeafKit não escapava dados de entrada do usuário nas tags de variável antes da versão 1.3.0, permitindo que invasores injetassem scripts maliciosos em páginas web. Se um site exibir dados não confiáveis através do LeafKit sem sanitização adequada, visitantes podem ser enganados para executar código controlado pelo invasor.

Vulnerabilidade de Cross-site Scripting (XSS) no LeafKit < 1.3.0 onde tags de variável não escapam entrada fornecida pelo usuário, habilitando injeção de scripts no HTML renderizado. O vetor de ataque requer uma aplicação passando dados não sanitizados para templates Leaf; o impacto inclui roubo de sessão, furto de credenciais e distribuição de malware se Content Security Policy não estiver ativa.