AutoPublicPathRuntimeModule do Webpack tem um gadget de DOM Clobbering que leva a XSS

### Resumo Descobrimos uma vulnerabilidade de DOM Clobbering no `AutoPublicPathRuntimeModule` do Webpack. O gadget de DOM Clobbering no módulo pode levar a cross-site scripting (XSS) em páginas web onde elementos HTML controlados pelo atacante sem script (por exemplo, uma tag `img` com um atributo `name` não sanitizado) estão presentes. Encontramos a exploração real deste gadget no Canvas LMS, que permite que o ataque XSS aconteça através de um código javascript compilado pelo Webpack (a parte vulnerável é do Webpack). Acreditamos que este seja um problema grave. Se o código do Webpack não for resiliente a ataques de DOM Clobbering, pode levar a vulnerabilidades de segurança significativas em qualquer aplicação web que utilize código compilado pelo Webpack. ### Detalhes #### Contexto DOM Clobbering é um tipo de ataque de reutilização de código onde o atacante primeiro incorpora um pedaço de marcações HTML não script, aparentemente benignas, na página web (por exemplo, através de uma postagem ou comentário) e aproveita os gadgets (pedaços de código js) existentes no código javascript para transformá-lo em código executável. Para mais informações sobre DOM Clobbering, aqui estão algumas referências: [1] https://scnps.co/papers/sp23_domclob.pdf [2] https://research.securitum.com/xss-in-