CVE-2024-11824

Nome do Software Vulnerável e Versões Afetadas langgenius/dify versões anteriores à 0.12.1

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado na funcionalidade de log de chat. Isso ocorre porque certas tags HTML, como <input> e <form>, não são devidamente restritas, permitindo que um atacante injete HTML malicioso no log via prompts. Quando um administrador visualiza o log contendo o HTML malicioso, o atacante pode potencialmente roubar as credenciais ou informações sensíveis do administrador.

Recomendações Para versões anteriores à 0.12.1, atualize para a versão 0.12.1 para resolver o problema. Como solução temporária, considere restringir o acesso à funcionalidade de log de chat até que a atualização seja aplicada.