Yagebu

**Nome do software vulnerável e versões afetadas** Versões do Fava anteriores à 1.22 **Descrição** O problema diz respeito a um ataque de script entre sites refletido (XSS) devido à falta de escapamento de mensagens de erro que contêm os parâmetros `time` e `filter` na forma literal. Isso permite a injeção de scripts maliciosos, podendo levar a ações não autorizadas em nome do usuário. **Recomendações** Para versões anteriores à 1.22, atualize para a versão 1.22 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso aos parâmetros `time` e `filter` nas mensagens de erro até que um patch esteja disponível. Evite usar os parâmetros `time` e `filter` de forma que possa levar à injeção de scripts maliciosos nas mensagens de erro.

**Nome do software vulnerável e versões afetadas** Versões do beancount/fava anteriores à 1.22.2 **Descrição** O problema diz respeito a uma vulnerabilidade de Cross-site Scripting (XSS) - Refletida. O parâmetro `query string` do Fava está vulnerável a ataques de cross-site scripting refletidos, permitindo que um invasor modifique qualquer informação que o usuário possa alterar. **Recomendações** Para versões anteriores à 1.22.2, atualize para a versão 1.22.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `query string` para minimizar o risco de exploração.