CVE-2021-27907

**Nome do software vulnerável e versões afetadas:

Versões do Apache Superset até a 0.38.0, inclusive

Descrição:

A vulnerabilidade permite que um usuário mal-intencionado injete código JavaScript, executando ações indesejadas no contexto do navegador do usuário, ao criar um componente Markdown em uma página do painel de controle. Isso é feito criando-se uma seção “div” e incorporando-se nela um elemento “svg” com código JavaScript. O código JavaScript injetado será executado automaticamente quando um usuário legítimo visitar a página do painel, resultando em um ataque Stored XSS.

Recomendações:

Para versões do Apache Superset até e incluindo a 0.38.0, considere desativar o componente Markdown nas páginas do painel até que um patch esteja disponível para impedir a injeção de código JavaScript malicioso. Restrinja o acesso à página do painel para minimizar o risco de exploração. Evite usar a seção “div” e o elemento “svg” no componente Markdown até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.