Plate - это набор инструментов JavaScript, который упрощает разработку с помощью Slate, популярной платформы для создания текстовых редакторов. Одной из давних функций Plate является возможность добавления пользовательских атрибутов DOM к любому элементу или листу с помощью свойства attributes. Эти атрибуты передаются компоненту узла с помощью свойства nodeProps. Нам стало известно, что эту функцию можно использовать в злонамеренных целях, включая межсайтовый скриптинг (XSS) и раскрытие информации (в частности, IP-адреса пользователей и открыли ли они вредоносный документ). Обратите внимание, что риск раскрытия информации через атрибуты актуален только для приложений, в которых веб-запросы к произвольным URL-адресам обычно не разрешены. Например, редакторы Plate, которые позволяют пользователям встраивать изображения из произвольных URL-адресов, уже несут риск утечки IP-адресов пользователей третьим лицам. Все редакторы Plate, использующие уязвимую версию @udecode/plate-core, уязвимы для этих атак раскрытия информации через атрибут style и другие атрибуты, которые могут привести к отправке веб-запросов. Кроме того, уязвимость редактора Plate к атакам межсайтового скриптинга с использованием атрибутов зависит от ряда факторов. Наиболее вероятными уязвимыми атрибутами DOM являются href и src в ссылках и iframe соответственно. Любой компонент, который распространяет {…nodeProps} на элемент или