CVE-2023-34245 in plate-linkinformazioni

Riassunto

di VulDB • 24/06/2026

@udecode/plate-link è il gestore dei link per il sistema di plugin dell'editor rich-text udecode/plate basato su Slate e React. Le versioni colpite del plugin link e del componente UI Link non sanificano gli URL, permettendo l'utilizzo dello schema `javascript:`. Di conseguenza, i link contenenti JavaScript possono essere inseriti nell'editor Plate attraverso vari metodi, tra cui l'apertura o l'inserimento di contenuti dannosi. La versione 20.0.0 di `@udecode/plate-link` risolve il problema introducendo un'opzione `allowedSchemes` nel plugin link, impostata di default su `['http', 'https', 'mailto', 'tel']`. Gli URL che utilizzano uno schema non presente in questo elenco non verranno renderizzati nel DOM. Si consiglia agli utenti di effettuare l'aggiornamento. Gli utenti impossibilitati ad aggiornare sono invitati a sovrascrivere i componenti `LinkElement` e `PlateFloatingLink` con implementazioni che verificano esplicitamente lo schema dell'URL prima del rendering degli elementi anchor.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

31/05/2023

Divulgazione

09/06/2023

Moderazione

accettato

CPE

pronto

EPSS

0.00445

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!