CVE-2026-54527

Nome do Software Vulnerável e Versões Afetadas jupyterlab-git (versões afetadas não especificadas)

Descrição Um problema de cross-site scripting (XSS) armazenado existe no componente PlainTextDiff.ts da extensão jupyterlab-git. A função createHeader() passa nomes de arquivos Git diretamente para innerHTML sem sanitização ao renderizar diffs de arquivos renomeados no histórico de commits. Um invasor com acesso de commit a um repositório Git compartilhado pode criar um arquivo com um nome manipulado contendo um payload JavaScript e renomeá-lo em um commit subsequente. Quando a vítima visualiza o diff de renomeação na guia Git History, o payload é executado em sua sessão de navegador. Isso pode ser utilizado para ler o cookie xsrf, abrir um terminal através do endpoint '/api/terminals' e executar comandos de shell arbitrários, resultando em execução remota de código (RCE) para exfiltrar segredos ou credenciais.

Recomendações Como medida paliativa temporária, restrinja o acesso a repositórios Git compartilhados de contribuidores não confiáveis para minimizar o risco de exploração. Na função createHeader() do arquivo PlainTextDiff.ts, substitua o uso de innerHTML por textContent para a renderização de nomes de arquivos ou aplique a sanitização HTML adequada para escapar caracteres como <, >, &, ", e ' antes de inserir nomes de arquivos no DOM.