Manicspublished

**Nome do software vulnerável e versões afetadas** jupyter-server-proxy, versões 3.0.0 a 3.2.3 jupyter-server-proxy, versões 4.0.0 a 4.1.2 **Descrição** A vulnerabilidade diz respeito a um problema de cross-site scripting (XSS) refletido. O endpoint `/proxy` aceita um segmento de caminho `host` no formato `/proxy/<host>`. Quando esse endpoint é chamado com um valor `host` inválido, o `jupyter-server-proxy` responde com uma resposta que inclui o valor de `host`, sem sanitização. Um agente mal-intencionado pode explorar isso enviando a um usuário um link de phishing com um valor `host` inválido contendo JavaScript personalizado. Quando o usuário clica nesse link de phishing, o navegador renderiza a resposta de `GET /proxy/<host>`, que executa o JavaScript personalizado contido no `host` definido pelo agente. Essa vulnerabilidade permite acesso amplo à instância do JupyterLab do usuário por parte de um agente. **Recomendações** Para as versões 3.0.0 a 3.2.3, atualize para a versão 3.2.4 para resolver o problema. Para as versões 4.0.0 a 4.1.2, atualize para a versão 4.2.0 para resolver o problema. Como solução alternativa temporária, os operadores de servidor que não puderem atualizar podem desativar a extensão `jupyter-server-proxy` executando o comando `jupyter server extension disable jupyter-server-proxy`.