Mia0A-Hi

**Nome do Software Vulnerável e Versões Afetadas** Dify versão 1.2.0 **Descrição** O Dify é uma plataforma de desenvolvimento de aplicações LLM de código aberto. Nesta plataforma, há filtragem insuficiente da entrada do usuário pelas aplicações web, o que permite que atacantes injetem código de script malicioso em páginas web. Isso pode resultar em um ataque de cross-site scripting (XSS) quando um usuário navega por essas páginas web. **Recomendações** Para a versão 1.2.0, como uma solução temporária (workaround), considere implementar validação e sanitização de entrada adicionais para prevenir a injeção de scripts maliciosos até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Halo anteriores à 2.17.0 **Descrição** Foi identificada uma falha de segurança no projeto Halo, permitindo que um invasor execute scripts maliciosos no navegador do usuário por meio de códigos HTML e JavaScript específicos, o que pode levar a um ataque de Cross-Site Scripting (XSS). **Recomendações** Para versões anteriores à 2.17.0, atualize para a versão 2.17.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso de código HTML e JavaScript no projeto Halo afetado até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do MeterSphere anteriores à 1.10.1-lts **Descrição** O editor de etapas do sistema no MeterSphere contém vulnerabilidades de cross-site scripting. **Recomendações** Para versões anteriores à 1.10.1-lts, atualize para a versão 1.10.1-lts para resolver o problema.

**Name of the Vulnerable Software and Affected Versions** DataEase versions prior to 1.18.3 **Description** The issue concerns the DataEase platform, an open source data visualization and analysis tool. When saving a dashboard, an attacker can modify the saved data to store malicious code. This can lead to the execution of malicious code on the server side when a user accesses the dashboard. **Recommendations** For versions prior to 1.18.3, update to version 1.18.3 to resolve the issue. As a temporary workaround, consider restricting access to dashboards to minimize the risk of exploitation. Avoid using the platform's dashboard saving feature until the issue is resolved.