Albertspedersen

Nome do Software Vulnerável e Versões Afetadas OpenCode versões anteriores a 1.1.10 Descrição O software é um agente de codificação de IA de código aberto. O renderizador de markdown utilizado para respostas de modelos de linguagem de grande porte insere HTML arbitrário no Document Object Model (DOM) sem sanitização. Não há uma Política de Segurança de Conteúdo (CSP) implementada na interface web para impedir a execução de JavaScript por meio de injeção de HTML. Isso permite que um atacante controle a resposta do modelo de linguagem de grande porte para uma sessão de chat e execute JavaScript na origem 'http://localhost:4096'. Recomendações Atualize para a versão 1.1.10 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões 1.4.0 a 1.8.6 do JSONata Versões 2.0.0 a 2.0.3 do JSONata **Descrição** Uma expressão maliciosa pode usar o operador transform para sobrescrever propriedades no construtor e no protótipo `Object`, levando potencialmente a negação de serviço, execução remota de código ou outro comportamento inesperado em aplicativos que avaliam expressões JSONata fornecidas pelo usuário. **Recomendações** Para as versões 1.4.0 a 1.8.6 do JSONata, atualize para a versão 1.8.7 ou posterior para evitar a exploração. Para as versões 2.0.0 a 2.0.3 do JSONata, atualize para a versão 2.0.4 ou posterior para evitar a exploração. Como solução temporária, considere aplicar o patch manual fornecido para evitar a exploração.