CVE-2021-44042

**Nome do software vulnerável e versões afetadas:

UiPath Assistant versão 21.4.4

Descrição:

Foi detectada uma falha em que os dados controlados pelo usuário fornecidos ao argumento --process-start do manipulador de URI para “uipath-assistant://” não são codificados corretamente. Isso faz com que conteúdo controlado pelo invasor seja injetado na mensagem de erro exibida quando o conteúdo injetado não corresponde a um processo existente. Um invasor determinado poderia aproveitar isso para executar JavaScript no contexto do aplicativo Electron.

Recomendações:

Para o UiPath Assistant versão 21.4.4, considere desativar o manipulador de URI para “uipath-assistant://” como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao argumento --process-start para minimizar o risco de exploração. Evite usar o argumento --process-start no manipulador de URI afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.