CVE-2024-11850

Nome do Software Vulnerável e Versões Afetadas langgenius/dify (versões afetadas não especificadas)

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) armazenado devido à validação e sanitização inadequadas da entrada do usuário no suporte a SVG em markdown dentro da funcionalidade de chatbot. Um invasor pode explorar isso injetando conteúdo SVG malicioso, que pode executar código JavaScript arbitrário quando visualizado por um administrador, potencialmente levando ao roubo de credenciais.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.