Vulnerabilidad en Go (CVE-2023-29453)

Las plantillas no consideran correctamente las comillas invertidas (`) como delimitadores de cadenas de Javascript y no las escapan como se esperaba. Las comillas invertidas se utilizan, desde ES6, para los literales de plantillas JS. Si una plantilla contiene una acción de plantilla Go dentro de un literal de plantilla Javascript, el contenido de la acción se puede usar para terminar el literal, inyectando código Javascript arbitrario en la plantilla Go. Como los literales de plantilla de ES6 son bastante complejos y ellos mismos pueden hacer interpolación de cadenas, se tomó la decisión de simplemente no permitir que se utilicen acciones de plantilla de Go dentro de ellos (por ejemplo, "var a = {{.}}"), ya que no hay forma obviamente segura de permitir este comportamiento. Esto adopta el mismo enfoque que github.com/google/safehtml. Con arreglo, Plantilla. Parse devuelve un error cuando encuentra plantillas como esta, con un código de error de valor 12. Este código de error no se ha exportado actualmente, pero se exportará en la versión de Go 1.21. Los usuarios que confían en el comportamiento anterior pueden volver a habilitarlo usando el indicador GODEBUG jstmpllitinterp=1, con la advertencia de que ahora se escaparán las comillas invertidas. Esto debe usarse con precaución.