Fl3X1Nz

**Nome do Software Vulnerável e Versões Afetadas** draw.io versões anteriores a 29.7.9 **Descrição** O aplicativo aceita um parâmetro de URL `gitlab` que substitui a URL do servidor GitLab usada durante a autenticação OAuth. Um invasor pode usar um link manipulado para fazer com que a caixa de diálogo "Authorize in GitLab" abra um popup em um host sob seu controle em vez do gitlab.com legítimo. Esse comportamento pode levar ao phishing de credenciais e à exfiltração de tokens de estado de sessão. **Recomendações** Atualize para a versão 29.7.9.