Ian Budd

**Nome do software vulnerável e versões afetadas** Versões do PrivateBin anteriores à 1.4.0 **Descrição** Foi encontrada uma vulnerabilidade de cross-site scripting (XSS) no PrivateBin, um clone minimalista e de código aberto do Pastebin. O problema surge porque os arquivos SVG podem conter JavaScript, permitindo que um invasor execute código se um usuário abrir uma pasta com um anexo SVG especialmente criado e interagir com a imagem de pré-visualização. Isso pode ocorrer se a instância não estiver protegida por uma política de segurança de conteúdo adequada. A vulnerabilidade está presente em todas as versões a partir da 0.21 do projeto, que inicialmente se chamava ZeroBin. **Recomendações** Para versões anteriores à 1.4.0, atualize para a versão 1.4.0 para resolver o problema. Como solução temporária, certifique-se de que a política de segurança de conteúdo da instância esteja configurada corretamente para minimizar o risco de exploração.