Vulnerabilidad en Plate (CVE-2024-47061)

Plate es un conjunto de herramientas de JavaScript que facilita el desarrollo con Slate, un popular framework de trabajo para crear editores de texto. Una característica de larga data de Plate es la capacidad de agregar atributos DOM personalizados a cualquier elemento u hoja utilizando la propiedad `attributes`. Estos atributos se pasan al componente de nodo utilizando la propiedad `nodeProps`. Nos hemos dado cuenta de que esta característica se puede utilizar con fines maliciosos, incluido cross-site scripting (XSS) y la exposición de información (específicamente, las direcciones IP de los usuarios y si han abierto o no un documento malicioso). Tenga en cuenta que el riesgo de exposición de información a través de atributos solo es relevante para aplicaciones en las que las solicitudes web a URL arbitrarias no están permitidas normalmente. Los editores de Plate que permiten a los usuarios incrustar imágenes desde URL arbitrarias, por ejemplo, ya conllevan el riesgo de filtrar las direcciones IP de los usuarios a terceros. Todos los editores de Plate que utilizan una versión afectada de @udecode/plate-core son vulnerables a estos ataques de exposición de información a través del atributo style y otros atributos que pueden hacer que se envíen solicitudes web. Además, la vulnerabilidad de un editor de Plate a ataques de cross site scripting mediante atributos depende de varios factores. Los atributos DOM que tienen más probabilidades de ser vulnerables son href y src en enlaces e iframes respectivamente. Cualquier componente que extienda {...nodeProps} en un elemento o y no anule posteriormente href o src será vulnerable a XSS. En las versiones parcheadas de Plate, hemos deshabilitado element.attributes y leaf.attributes para la mayoría de los nombres de atributos de forma predeterminada, con algunas excepciones que incluyen target, alt, width, height, colspan y rowspan en los complementos de enlaces, imágenes, videos, celdas de tablas y celdas de encabezado de tablas. Si este es un cambio importante para usted, puede volver a habilitar de forma selectiva los atributos para ciertos complementos de la siguiente manera. Investigue y evalúe cuidadosamente las implicaciones de seguridad de cualquier atributo que permita, ya que incluso los atributos aparentemente inocuos, como style, pueden usarse de forma maliciosa. Si no puede actualizar a ninguna de las versiones parcheadas, debe usar una herramienta como patch-package o yarn patch para eliminar la lógica de @udecode/plate-core que agrega atributos a nodeProps.