Czgupublished

**Nome do software vulnerável e versões afetadas** Versões do Querybook anteriores à 3.14.2 **Descrição** O problema diz respeito ao Querybook, uma interface de usuário de código aberto para consulta de dados. Nas versões afetadas, os dados fornecidos pelo usuário não são escapados no campo de erro da URL de callback de autenticação em `querybook/server/app/auth/oauth auth.py` e `querybook/server/app/auth/okta auth.py`. Isso pode permitir que invasores executem cross-site scripting (XSS) refletido se a Política de Segurança de Conteúdo (CSP) não estiver habilitada ou se `unsafe-inline` for permitido. **Recomendações** Para versões anteriores à 3.14.2, atualize para a versão mais recente e corrigida do Querybook (versão 3.14.2 ou superior). Para usuários que não possam atualizar, habilite a Política de Segurança de Conteúdo (CSP) e não permita `unsafe-inline`, ou escape manualmente os parâmetros de consulta em um proxy reverso.