CVE-2023-34245 in plate-link
Riassunto
di VulDB • 24/06/2026
@udecode/plate-link è il gestore dei link per il sistema di plugin dell'editor rich-text udecode/plate basato su Slate e React. Le versioni colpite del plugin link e del componente UI Link non sanificano gli URL, permettendo l'utilizzo dello schema `javascript:`. Di conseguenza, i link contenenti JavaScript possono essere inseriti nell'editor Plate attraverso vari metodi, tra cui l'apertura o l'inserimento di contenuti dannosi. La versione 20.0.0 di `@udecode/plate-link` risolve il problema introducendo un'opzione `allowedSchemes` nel plugin link, impostata di default su `['http', 'https', 'mailto', 'tel']`. Gli URL che utilizzano uno schema non presente in questo elenco non verranno renderizzati nel DOM. Si consiglia agli utenti di effettuare l'aggiornamento. Gli utenti impossibilitati ad aggiornare sono invitati a sovrascrivere i componenti `LinkElement` e `PlateFloatingLink` con implementazioni che verificano esplicitamente lo schema dell'URL prima del rendering degli elementi anchor.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.