js · jupyterlab-gitCrítico
jupyterlab-git: Vulnerabilidade de XSS Armazenado em PlainTextDiff.ts
Vulnerabilidade de XSS armazenado no componente PlainTextDiff.
O que mudou
Vulnerabilidade de XSS armazenado no componente PlainTextDiff.ts da extensão jupyterlab-git: o método createHeader() insere nomes de arquivos Git diretamente em innerHTML sem sanitização ao renderizar diffs de arquivos renomeados, permitindo execução arbitrária de JavaScript.
Quem isso afeta
Usuários do JupyterLab com a extensão jupyterlab-git instalada que visualizam diffs de renomeação na aba Git History de um repositório compartilhado.
O que fazer hoje
Atualize o jupyterlab-git para uma versão corrigida ou aplique a mitigação substituindo innerHTML por textContent em PlainTextDiff.ts.
A esteira
Coletado→
Auditado→
Redigido→
Publicado