jupyterlab-git: XSS via rename diffs (PlainTextDiff.ts)

Stored XSS em PlainTextDiff.ts: createHeader() passa nomes de arquivos Git diretamente para innerHTML sem sanitização ao renderizar diffs de renomeação. Isso pode levar a RCE na sessão JupyterLab da vítima.

Usuários de JupyterLab com a extensão jupyterlab-git instalada que clonam ou puxam repositórios de fontes compartilhadas e visualizam diffs de renomeação na aba Git History.

Atualize jupyterlab-git para uma versão corrigida assim que disponível, ou aplique a mitigação substituindo innerHTML por textContent ou sanitizando nomes de arquivos no método createHeader() de PlainTextDiff.ts.