CVE-2026-39426

Name of the Vulnerable Software and Affected Versions MaxKB versões anteriores a 2.8.0

Description Um problema de Cross-Site Scripting (XSS) Armazenado existe onde o componente MdRenderer.vue do frontend analisa tags <iframe render> personalizadas de respostas de LLM ou configurações de Prólogo da Aplicação. Este processo ignora a sanitização padrão de Markdown e a filtragem de XSS. O conteúdo HTML não sanitizado é então passado para o componente IframeRender.vue, que o renderiza diretamente em um <iframe> através do atributo srcdoc configurado com sandbox="allow-scripts allow-same-origin". Isso permite que scripts injetados escapem do iframe e executem JavaScript na janela pai usando window.parent. Como o Prólogo é renderizado para qualquer usuário que visite a interface de chat de uma aplicação, isso pode levar ao sequestro de sessão, ações não autorizadas e exposição de dados sensíveis.

Recommendations Atualizar para a versão 2.8.0.