php · symfony/ux-iconsAtenção
symfony/ux-icons: XSS via SVG inlining — atualize para versão corrigida
A função Twig ux_icon() e o método Icon::toHtml() incorporavam SVG sem sanitização, permitindo XSS via elementos script e manipuladores de eventos.
O que mudou
A função Twig ux_icon() e o método Icon::toHtml() incorporavam SVG sem sanitização, permitindo XSS via elementos script e manipuladores de eventos. Um novo IconFactory centraliza a sanitização, removendo elementos com capacidade de script, atributos perigosos e esquemas de URL.
Quem isso afeta
Todas as aplicações Symfony que usam symfony/ux-icons com ícones SVG controlados pelo usuário ou de terceiros, especialmente aquelas que usam o caminho sob demanda do Iconify.
O que fazer hoje
Atualize symfony/ux-icons para a versão corrigida mais recente e revise fontes de ícones personalizadas quanto a possíveis vetores de XSS.
A esteira
Coletado→
Auditado→
Redigido→
Publicado