Saleorはeコマースプラットフォームです。バージョン3.0.0から3.20.108、3.21.43、3.22.27の各バージョンの前まで、Saleorは認証されたスタッフユーザーまたはアプリが任意のファイルをアップロードすることを許可しており、その中にはJavaScriptを含む悪意のあるHTMLおよびSVGファイルも含まれていました。展開戦略によっては、これらのファイルがダッシュボードと同じドメインから制限なく配信される可能性があり、その結果、ユーザーのブラウザーコンテキストで悪意のあるスクリプトが実行される恐れがあります。悪意のあるスタッフメンバーはスクリプトインジェクションを作成し、他のスタッフメンバーを標的にしてアクセスおよびリフレッシュトークンを盗む可能性があります。メディアファイルをダッシュボードと同じドメイン内にホストしている場合（例：ダッシュボードが`example.com/dashboard/`にあり、メディアが`example.com/media/`の下にある場合）はユーザーが脆弱です。メディアファイルが異なるドメインでホストされている場合（例：`media.example.com`）は影響がありません。また、メディアファイルに対して`Content-Disposition: attachment`ヘッダーを返していない場合も影響を受けます。Saleor Cloudのユーザーには影響がありません。この問題はバージョン3.22.27、3.21.43、および3.20.108で修正されています。アップグレードできないユーザーのためにいくつかの回避策が利用可能です。メディアファイルをホストするサーバー（CDNやリバースプロキシなど）に`Content-Disposition: attachment`ヘッダーを返すように設定してください。これによりブラウザはファイルをレンダリングせずダウンロードします。サーバーがHTMLおよびSVGファイルを返すのを防いでください。また、メディアファイルに対して`Content-Security-Policy`を設定してください。例えば`Content-Security-Policy: default-src 'none'; base-uri 'none'; frame-ancestors 'none'; form-action 'none';`のように設定してください。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。