Katalog CVE

CVE-2025-58361

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Promptcraft Forge Studio to zestaw narzędzi do oceny, optymalizacji i utrzymania aplikacji opartych na LLM. Wszystkie wersje zawierają niepełne sprawdzenie schematu URL, które nie chroni przed atakami XSS, co pozwala na wykonanie skryptu przez atakującego.

Ocena ryzyka

Organizacja jest narażona na ataki XSS, które mogą prowadzić do kradzieży danych lub przejęcia sesji użytkowników. Brak aktualizacji w tej kwestii zwiększa ryzyko wykorzystania tej podatności.

Rekomendacja

Zaleca się unikanie używania Promptcraft Forge Studio do przetwarzania niezaufanych URL-i oraz monitorowanie dostępnych aktualizacji, które mogą naprawić tę podatność.

Oryginalny opis (angielski, źródło NVD)

Promptcraft Forge Studio is a toolkit for evaluating, optimizing, and maintaining LLM-powered applications. All versions contain an non-exhaustive URL scheme check that does not protect against XSS. User-controlled URLs pass through src/utils/validation.ts, but the check only strips `javascript:` and a few patterns. `data:` URLs (for example data:image/svg+xml,…) still pass. If a sanitized value is used in href/src, an attacker can execute a script. There is currently no fix for this issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS