Zyk2507

**Nome do Software Vulnerável e Versões Afetadas** Versões do OpenList Frontend anteriores a 4.0.0-rc.4 **Descrição** Existe uma vulnerabilidade de XSS armazenado no recurso de visualização/navegação de arquivos da aplicação. Isso ocorre quando arquivos com a extensão .py contendo código JavaScript envolto em tags `<script>` são interpretados e executados como HTML em determinados modos. Um atacante pode colocar tal arquivo .py no sistema via canais remotos e, quando uma vítima visualiza o arquivo no modo de navegação, o JavaScript é executado no contexto do navegador. Isso pode permitir o acesso a informações do usuário, incluindo cookies, estado de login e localStorage. **Recomendações** * Para versões anteriores a 4.0.0-rc.4, trate todos os tipos de arquivos visualizados como texto simples, a menos que sejam explicitamente sanitizados. * Para versões anteriores a 4.0.0-rc.4, desative modos de renderização que possam interpretar conteúdo enviado pelo usuário como HTML. * Atualize para a versão 4.0.0-rc.4 ou posterior para corrigir a vulnerabilidade.