Vulnerabilidad en Plate (CVE-2024-40631)

Plate media es un editor de texto enriquecido de código abierto para React. Los editores que usan `MediaEmbedElement` y pasan `urlParsers` personalizados al enlace `useMediaState` pueden ser vulnerables a XSS si un analizador personalizado permite incrustar URL `javascript:`, `data:` o `vbscript:`. Los editores que no utilizan `urlParsers` y consumen la propiedad `url` directamente también pueden ser vulnerables si la URL no está sanitizada. Los analizadores predeterminados `parseTwitterUrl` y `parseVideoUrl` no se ven afectados. `@udecode/plate-media` 36.0.10 resuelve este problema al permitir solo URL HTTP y HTTPS durante el análisis. Esto afecta sólo a la propiedad `embed` devuelta por `useMediaState`. Además, se cambió el nombre de la propiedad `url` devuelta por `useMediaState` a `unsafeUrl` para indicar que no se ha sanitizado. La propiedad `url` en `element` tampoco es segura, pero no se le ha cambiado el nombre. Si utiliza cualquiera de estas propiedades directamente, aún deberá validar la URL usted mismo. Se recomienda a los usuarios que actualicen. Los usuarios que no puedan actualizar deben asegurarse de que los `urlParsers` personalizados no permitan que las URL `javascript:`, `data:` o `vbscript:` se devuelvan en la propiedad `url` de sus valores de retorno. Si `url` se consume directamente, valide el protocolo de URL antes de pasarlo al elemento `iframe`.