Shaohuzhang1

**Name of the Vulnerable Software and Affected Versions** MaxKB versões anteriores a 2.8.0 **Description** Um problema de Eval Injection existe no mecanismo de renderização Markdown. Isso permite que qualquer usuário capaz de interagir com a interface de chat de IA execute JavaScript arbitrário nos navegadores de outros usuários, incluindo administradores, resultando em Stored Cross-Site Scripting (XSS), que é um método de injetar scripts maliciosos em um site confiável. **Recommendations** Atualizar para a versão 2.8.0.

**Name of the Vulnerable Software and Affected Versions** MaxKB versões anteriores a 2.8.0 **Description** O recurso de exportação de chat não sanitiza adequadamente strings que começam com caracteres de fórmula quando um administrador exporta o histórico de chat da aplicação para um arquivo Excel (.xlsx) através do endpoint '/admin/api/workspace/{workspace id}/application/{application id}/chat/export'. Isso pode levar à Execução de Código Arbitrário (RCE) na estação de trabalho do administrador por meio do Dynamic Data Exchange (DDE), um protocolo que permite que aplicações compartilhem dados e executem comandos. **Recommendations** Atualizar para a versão 2.8.0.