Vulnerabilidad en el asistente m.trust() en la extensión "Flarum Sticky" en Flarum (CVE-2021-21283)

Flarum es una plataforma de discusión de código abierto para sitios web. Las versiones 0.1.0-beta.14 y 0.1.0-beta.15 de la extensión "Flarum Sticky" tienen una vulnerabilidad de tipo cross-site scripting. Un cambio en la versión beta 14 de la extensión Sticky causó que el contenido de texto plano de la primera publicación de una discusión fijada se inyectara como HTML en la lista de discusión. El problema se detectó tras una auditoría interna. Cualquier HTML se inyectaría por medio del asistente m.trust(). Esto resultó en una inyección de HTML donde las etiquetas (script) no se ejecutarían. Sin embargo, era posible ejecutar javascript desde otros atributos HTML, lo que permitía realizar un ataque de tipo cross-site scripting (XSS). Dado que la explotación solo ocurre con la primera publicación de una discusión fijada, un atacante necesitaría la capacidad de fijar su propia discusión o poder editar una discusión que haya sido fijada previamente. En los foros donde todas las publicaciones fijadas son creadas por su personal, puede estar relativamente seguro de que la vulnerabilidad no ha sido explotada. Los foros en los que se fijaron algunas discusiones creadas por usuarios pueden consultar la fecha de edición de la primera publicación para averiguar si la vulnerabilidad podría haberse explotado. Debido a que Flarum no almacena el historial de contenido de la publicación, no puede estar seguro de si se revertió una edición maliciosa. La corrección estará disponible en la versión v0.1.0-beta.16 con Flarum beta 16. La corrección ya se ha actualizado a Flarum beta 15 como la versión v0.1.0-beta.15.1 de la extensión Sticky. Los administradores del foro pueden deshabilitar la extensión Sticky hasta que puedan aplicar la actualización. La vulnerabilidad no puede ser explotada mientras la extensión esté desactivada