H Ming

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Zeppelin anteriores à 0.12.0 **Descrição** Este problema consiste em uma lista negra incompleta que resulta em uma condição de Cross-Site Scripting (XSS) no Apache Zeppelin. **Recomendações** Atualize para a versão 0.12.0 para corrigir o problema.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Apache Zeppelin de 0.11.1 até 0.12.0 **Descrição** Existe um problema de validação de entrada inadequada no Apache Zeppelin. A correção para validação de URL JDBC não considerou entradas codificadas em URL. **Recomendações** Atualize para a versão 0.12.0.

**Nome do software vulnerável e versões afetadas** Versões do Apache Zeppelin de 0.8.2 a 0.11.0 **Descrição** O problema está relacionado à codificação ou escape inadequados da saída, permitindo que invasores modifiquem o arquivo `helium.json` e realizem ataques de script entre sites (XSS) contra usuários comuns. **Recomendações** Para as versões 0.8.2 a 0.11.0 do Apache Zeppelin, atualize para a versão 0.11.1, que corrige o problema. Como solução temporária, considere restringir o acesso ao arquivo `helium.json` para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Apache InLong versions 1.4.0 through 1.6.0 **Description** The issue is related to the deserialization of untrusted data, which allows attackers to bypass the `autoDeserialize` option filtering by adding blanks. This can potentially lead to the execution of arbitrary code. **Recommendations** To solve the issue, users are advised to upgrade to Apache InLong's 1.7.0 or cherry-pick https://github.com/apache/inlong/pull/7674.