Vviers

**Nome do software vulnerável e versões afetadas** Versões do grist-core anteriores à 1.3.1 **Descrição** Um usuário que acesse um documento malicioso ou envie um formulário malicioso pode ter sua conta comprometida devido à possibilidade de usar o esquema `javascript:` em URLs de widgets personalizados e URLs de redirecionamento de formulários. **Recomendações** Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 para resolver o problema. Como solução temporária para usuários que não possam atualizar, evite acessar documentos ou formulários criados por pessoas em quem não confia.

**Nome do software vulnerável e versões afetadas** Versões do grist-core anteriores à 1.3.2 **Descrição** O problema diz respeito a um servidor de hospedagem de planilhas, no qual a conta de um usuário pode ser comprometida ao acessar um documento malicioso e visualizar um anexo. Isso ocorre porque o JavaScript em um arquivo SVG é executado no contexto da página atual do usuário, permitindo uma possível invasão da conta. **Recomendações** Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução temporária para usuários que não possam atualizar, evite visualizar anexos em documentos preparados por pessoas não confiáveis.

**Nome do software vulnerável e versões afetadas** Versões do grist-core anteriores à 1.3.2 **Descrição** O problema ocorre quando um usuário acessa um documento malicioso e clica em um link em uma célula HyperLink usando um modificador de teclado, como Ctrl+clique. Isso pode levar ao comprometimento da conta, pois o link pode utilizar o esquema javascript: e ser executado no contexto da página atual. **Recomendações** Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução alternativa temporária para usuários que não possam atualizar, evite clicar em links de células HyperLink usando um modificador de controle em documentos criados por pessoas em quem não confia.