PT-2024-21059 · Khoj · Khoj
Calligraf0
·
Publicado
2024-07-08
·
Atualizado
2024-08-28
·
CVE-2024-25639
CVSS v3.1
5.9
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do Khoj anteriores à 1.13.0
Descrição
O Khoj é um aplicativo que cria agentes de IA pessoais. Os clientes Khoj Obsidian, Desktop e Web não sanitizam adequadamente a resposta do modelo de IA e as entradas do usuário. Isso pode desencadear um ataque de Cross Site Scripting (XSS) via injeção de prompt a partir de documentos não confiáveis, seja indexados pelo usuário no Khoj ou lidos pelo Khoj na internet quando o usuário invoca o comando “online”.
Recomendações
Para versões anteriores à 1.13.0, atualize para a versão 1.13.0 para resolver o problema. Como solução temporária, considere restringir o uso do comando /online até que a atualização seja aplicada. Além disso, evite usar documentos não confiáveis com o modelo de IA para minimizar o risco de exploração.
Exploit
Correção
XSS
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Khoj