Vulnerabilidad en gatsby-transformer-remark (CVE-2023-22491)

Gatsby es un framework gratuito y de código abierto basado en React que ayuda a los desarrolladores a crear sitios web y aplicaciones. El complemento gatsby-transformer-remark anterior a las versiones 5.25.1 y 6.3.2 pasa la entrada al paquete npm `gray-matter`, que es vulnerable a la inyección de JavaScript en su configuración predeterminada, a menos que la entrada esté desinfectada. La vulnerabilidad está presente en gatsby-transformer-remark cuando se pasa entrada en modo de datos (consultando nodos MarkdownRemark a través de GraphQL). El JavaScript inyectado se ejecuta en el contexto del servidor de compilación. Para explotar esta vulnerabilidad, la entrada no confiable/no desinfectada tendría que obtenerse o agregarse a un archivo procesado por gatsby-transformer-remark. Se introdujo un parche en `gatsby-transformer-remark@5.25.1` y `gatsby-transformer-remark@6.3.2` que mitiga el problema al deshabilitar el motor JavaScript Frontmatter de `materia gris`. Como workaround, si se debe utilizar una versión anterior de `gatsby-transformer-remark`, la entrada pasada al complemento debe desinfectarse antes del procesamiento. Se recomienda que los proyectos actualicen a la última versión principal de todos los complementos de Gatsby para garantizar que las últimas actualizaciones de seguridad y correcciones de errores se reciban de manera oportuna.