Nick Barnes

**Nome do software vulnerável e versões afetadas** Versões do Apache Superset anteriores à 3.0.3 **Descrição** Existe uma vulnerabilidade de script entre sites armazenado (XSS) no Apache Superset. Um invasor autenticado com permissões de criação/atualização em gráficos ou painéis poderia armazenar um script ou adicionar um trecho específico de HTML que funcionaria como um XSS armazenado. Isso poderia permitir que um invasor remoto realizasse ataques de cross-site scripting. **Recomendações** Para versões anteriores à 3.0.3, atualize para a versão 3.0.3 ou posterior para resolver o problema. Para versões 2.X, os usuários devem alterar sua configuração para incluir as definições TALISMAN CONFIG especificadas a fim de mitigar o risco.

**Name of the Vulnerable Software and Affected Versions** Apache Superset versions prior to 2.1.2 **Description** The issue is caused by improper payload validation and an improper REST API response type. This allows an authenticated malicious actor to store malicious code into Chart's metadata. The code can be executed if a user accesses a specific deprecated API endpoint. **Recommendations** For Apache Superset versions prior to 2.1.2, upgrade to version 2.1.2 to fix the issue. As a temporary workaround, consider restricting access to the deprecated API endpoint until the upgrade is applied.