Th0H0

**Nome do software vulnerável e versões afetadas** Versões do JupyterHub anteriores à 4.1.0 **Descrição** A vulnerabilidade permite que um invasor execute um ataque XSS que afeta diretamente a sessão de um usuário, induzindo-o a visitar um subdomínio malicioso. Isso pode resultar em acesso total à API do JupyterHub e ao servidor de usuário único do usuário. As configurações afetadas incluem implantações do JupyterHub de origem única e implantações com aplicativos controlados pelo usuário em execução em subdomínios ou subdomínios pares do Hub ou de um servidor de usuário único. Um invasor poderia criar e extrair um token de API, extrair arquivos hospedados no servidor de usuário único do usuário ou instalar extensões maliciosas. **Recomendações** Para versões anteriores à 4.1.0, atualize para o JupyterHub 4.1.0, habilite domínios por usuário via `c.JupyterHub.subdomain host` e defina `c.JupyterHub.cookie host prefix enabled` como True para habilitar cookies bloqueados por domínio. Como alternativa, implante o JupyterHub em seu próprio domínio e habilite domínios por usuário via `c.JupyterHub.subdomain host`.