Elrido

**Nome do software vulnerável e versões afetadas** Versões do PrivateBin 1.2.0 a 1.2.1 Versões do PrivateBin 1.3.0 a 1.3.1 **Descrição** É possível que exista uma vulnerabilidade persistente de Cross-site scripting (XSS) no PrivateBin devido à presença de HTML não escapado nos nomes de arquivos anexados fornecidos pelo usuário. Isso pode levar à execução de código quando um visitante clica no botão “Clonar” em uma colagem com um nome de arquivo malicioso. O impacto é mitigado pelo fato de que a vulnerabilidade é específica para colagens e a Política de Segurança de Conteúdo (CSP) implantada não permite JS embutido. No entanto, podem existir maneiras de contornar a CSP, e a simples injeção de tags HTML ainda pode ocorrer. **Recomendações** Para as versões 1.2.0 a 1.2.1 do PrivateBin, atualize para a versão 1.2.2 para se proteger contra a vulnerabilidade. Para as versões 1.3.0 a 1.3.1 do PrivateBin, atualize para a versão 1.3.2 para se proteger contra a vulnerabilidade. Como solução temporária, considere desativar a configuração `fileupload` para impedir que pastas que possam conter essa vulnerabilidade sejam exibidas, mas observe que isso irá danificar todas as pastas existentes com uploads.