CVE-2025-51464

Nome do Software Vulnerável e Versões Afetadas aimhubio Aim versões 3.28.0

Descrição Existe uma vulnerabilidade de cross-site scripting (XSS) no aimhubio Aim 3.28.0. Atacantes remotos podem executar JavaScript arbitrário no navegador de uma vítima ao enviar código Python malicioso para o endpoint /api/reports. O código Python enviado é interpretado e executado pelo Pyodide quando o relatório é visualizado. Sanitização insuficiente ou restrições de sandbox inadequadas permitem a execução de JavaScript via pyodide.code.run js().

Recomendações aimhubio Aim versão 3.28.0: Como medida temporária, considere restringir o acesso ao endpoint /api/reports para minimizar o risco de exploração.