js · @openzeppelin/wizardCrítico
@openzeppelin/wizard: injeção de código em arquivos de teste gerados
O OpenZeppelin Contracts Wizard gerava arquivos de teste de exemplo que interpolavam strings fornecidas pelo usuário sem escapamento, permitindo injeção de códi
O que mudou
O OpenZeppelin Contracts Wizard gerava arquivos de teste de exemplo que interpolavam strings fornecidas pelo usuário sem escapamento, permitindo injeção de código.
Quem isso afeta
Usuários do Wizard hospedado (nenhuma ação necessária), usuários de @openzeppelin/wizard via API pública (não afetados) e chamadores de zipHardhat/zipFoundry que encaminham strings controladas externamente para opts.name/opts.uri (devem atualizar).
O que fazer hoje
Atualize @openzeppelin/wizard para a versão 0.10.9 se você usa zipHardhat ou zipFoundry com entrada não confiável.
A esteira
Coletado→
Auditado→
Redigido→
Publicado