Nome do Software Vulnerável e Versões Afetadas cosmos (versões afetadas não especificadas)

Description A interface do Command Sender utiliza a função eval() de forma insegura ao processar parâmetros de comando do tipo array. Isso permite que um payload fornecido pelo usuário seja executado no navegador durante o envio de um comando, resultando em um risco de self-XSS. Um invasor pode disparar a execução de scripts na sessão de uma vítima se conseguir influenciar a entrada do parâmetro de array, por exemplo, via phishing. A exploração bem-sucedida pode permitir que o invasor leia ou modifique dados no contexto do navegador autenticado, incluindo tokens de sessão no armazenamento local. O problema ocorre na função convertToValue().

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.