CVE-2025-58361
CriticalSummary
Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.
Risk Assessment
Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych lub przejęcia sesji użytkowników. Brak aktualizacji w tej kwestii zwiększa ryzyko wykorzystania tej podatności.
Recommendation
Zaleca się unikanie używania Promptcraft Forge Studio do przetwarzania niezaufanych URL-i oraz monitorowanie dostępnych aktualizacji, które mogą naprawić tę podatność.
Original NVD description (English source)
Promptcraft Forge Studio is a toolkit for evaluating, optimizing, and maintaining LLM-powered applications. All versions contain an non-exhaustive URL scheme check that does not protect against XSS. User-controlled URLs pass through src/utils/validation.ts, but the check only strips `javascript:` and a few patterns. `data:` URLs (for example data:image/svg+xml,…) still pass. If a sanitized value is used in href/src, an attacker can execute a script. There is currently no fix for this issue.

