Vidartf

**Nome do software vulnerável e versões afetadas** Versões do nbdime anteriores à 1.1.1 Versões do nbdime anteriores à 2.1.1 Versões do nbdime anteriores à 3.1.1 Versões do nbdime anteriores à 5.0.2 Versões do nbdime anteriores à 6.1.2 Versões do nbdime-jupyterlab anteriores à 1.0.1 Versões do nbdime-jupyterlab anteriores à 2.1.1 **Descrição** Existe uma vulnerabilidade de cross-site scripting (XSS) armazenada no projeto nbdime. A vulnerabilidade decorre do tratamento inadequado de entradas controladas pelo usuário, especificamente ao ler nomes de arquivos e caminhos do disco. A função `diffNotebookCheckpoint` no nbdime causa essa vulnerabilidade. Ao tentar exibir o nome do notebook local, o nbdime acrescenta `.ipynb` ao nome do arquivo de entrada. O `NbdimeWidget` é então criado, e a string base é passada para a função da API de solicitação, permitindo que o front-end renderize tags HTML e conteúdo potencialmente malicioso. **Recomendações** Para versões do nbdime anteriores à 1.1.1, atualize para a versão 1.1.1 ou posterior. Para versões do nbdime anteriores à 2.1.1, atualize para a versão 2.1.1 ou posterior. Para versões do nbdime anteriores à 3.1.1, atualize para a versão 3.1.1 ou posterior. Para versões do nbdime anteriores à 5.0.2, atualize para a versão 5.0.2 ou posterior. Para versões do nbdime anteriores à 6.1.2, atualize para a versão 6.1.2 ou posterior. Para versões do nbdime-jupyterlab anteriores à 1.0.1, atualize para a versão 1.0.1 ou posterior. Para versões do nbdime-jupyterlab anteriores à 2.1.1, atualize para a versão 2.1.1 ou posterior.