Iiihaiii

**Nome do Software Vulnerável e Versões Afetadas** Prometheus versões 2.49.0 até 3.5.2 Prometheus versões 3.11.0 até 3.11.2 **Description** Na interface web legada, habilitada através da flag de linha de comando `--enable-feature=old-ui`, a visualização do gráfico de mapa de calor (heatmap) de histograma não escapa os valores de rótulo ao inseri-los no HTML para uso como rótulos de marcação do eixo. Isso permite que um invasor capaz de injetar métricas manipuladas execute JavaScript no navegador de qualquer usuário que visualize a métrica na interface do gráfico de mapa de calor. **Recommendations** Atualize para a versão 3.5.3. Atualize para a versão 3.11.3. Como mitigação temporária, desabilite a interface web legada removendo a flag `--enable-feature=old-ui`.

**Nome do Software Vulnerável e Versões Afetadas** Notesnook Web/Desktop versões anteriores a 3.3.15 Notesnook iOS/Android versões anteriores a 3.3.20 **Descrição** Um problema de Cross-Site Scripting (XSS) armazenado existe no fluxo de exportação de notas. O problema ocorre porque os campos de notas exportados, incluindo `title`, `headline` e `content`, são inseridos no modelo HTML gerado sem a devida filtragem (escaping) de HTML. Quando uma nota é exportada para PDF, o aplicativo renderiza esse HTML em um iframe de mesma origem e não isolado (unsandboxed) usando `iframe.srcdoc`. Isso permite que scripts injetados sejam executados na origem do Notesnook. No aplicativo de desktop, isso pode ser escalado para execução remota de código (RCE) porque o Electron está configurado com `nodeIntegration: true` e `contextIsolation: false`. **Recomendações** Atualizar as versões Web/Desktop para 3.3.15. Atualizar as versões iOS/Android para 3.3.20.