CVE-2026-25802

Nome do Software Vulnerável e Versões Afetadas Novas versões da API anteriores à 0.10.8-alpha.9

Descrição O software contém uma operação potencialmente insegura no componente MarkdownRenderer.jsx. Isso permite Cross-Site Scripting (XSS) quando o modelo gera itens contendo tags <script>. O problema surge do uso de dangerouslySetInnerHTML para visualizar o HTML gerado pelo modelo, o que pode acionar scripts maliciosos. Uma prova de conceito demonstra que solicitar ao modelo que gere um script pode redirecionar o navegador para google.com sem interação do usuário. O histórico de chat contendo o script XSS é armazenado, potencialmente executando o script novamente ao acessar a página. O impacto inclui atividade maliciosa potencial direcionada aos usuários do playground, especialmente se a API do modelo for comprometida para gerar código não intencional. O código vulnerável reside nas linhas 212-231 do MarkdownRenderer.jsx.

Recomendações Versões anteriores à 0.10.8-alpha.9 devem ser atualizadas para a versão 0.10.8-alpha.9 ou posterior. Como solução alternativa temporária, considere colocar a visualização dentro de um iframe com sandbox. Strings HTML perigosas devem ser purificadas antes da renderização.