CVE-2025-11844

Nome do Software Vulnerável e Versões Afetadas Versões do Hugging Face Smolagents anteriores a 1.22.0

Descrição O software contém uma vulnerabilidade de injeção de XPath na função search item ctrl f dentro do arquivo src/smolagents/vision web browser.py. A função constrói uma consulta XPath combinando entrada fornecida pelo usuário diretamente na expressão XPath sem sanitização ou escape suficientes. Isso permite que um atacante injete sintaxe XPath maliciosa, potencialmente alterando a lógica da consulta. Isso pode levar à contornação de filtros de busca, acesso a elementos do DOM não intencionais e interrupção de fluxos de automação web, resultando potencialmente em divulgação de informações e interações comprometidas do agente de IA. O endpoint da API não é mencionado. O parâmetro vulnerável não é mencionado.

Recomendações Atualize para a versão 1.22.0 ou posterior do Smolagents.