CVE-2025-58361
KrytyczneStreszczenie
Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.
Ocena ryzyka
Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych lub przejęcia sesji użytkowników. Brak aktualizacji w tej kwestii zwiększa ryzyko wykorzystania tej podatności.
Rekomendacja
Zaleca się unikanie używania Promptcraft Forge Studio do przetwarzania niezaufanych URL-i oraz monitorowanie dostępnych aktualizacji, które mogą naprawić tę podatność.
Oryginalny opis (angielski, źródło NVD)
Promptcraft Forge Studio is a toolkit for evaluating, optimizing, and maintaining LLM-powered applications. All versions contain an non-exhaustive URL scheme check that does not protect against XSS. User-controlled URLs pass through src/utils/validation.ts, but the check only strips `javascript:` and a few patterns. `data:` URLs (for example data:image/svg+xml,…) still pass. If a sanitized value is used in href/src, an attacker can execute a script. There is currently no fix for this issue.

