js · devbridge-autocompleteAtenção
devbridge-autocomplete: XSS via formatGroup e formatResult
As funções padrão formatGroup e formatResult concatenam valores em HTML sem escape, causando vulnerabilidades XSS.
O que mudou
As funções padrão formatGroup e formatResult concatenam valores em HTML sem escape, causando vulnerabilidades XSS. Corrigido na versão 2.0.1.
Quem isso afeta
Aplicações que usam devbridge-autocomplete e renderizam dados de sugestão controláveis por atacante, especialmente com groupBy ou minChars: 0.
O que fazer hoje
Atualize devbridge-autocomplete para a versão 2.0.1 ou superior para corrigir as vulnerabilidades XSS.
A esteira
Coletado→
Auditado→
Redigido→
Publicado