CVE-2026-1721

Nome do Software Vulnerável e Versões Afetadas Versões do AI Playground anteriores a 0.3.10

Descrição Existe um problema de Cross-Site Scripting Refletido (XSS) no manipulador de callback OAuth do AI Playground. O parâmetro de consulta error description é interpolado diretamente em uma tag de script HTML sem escape adequado, permitindo que atacantes executem JavaScript arbitrário dentro da sessão da vítima. Um atacante poderia criar um link malicioso que, ao ser clicado pela vítima, permitiria acessar o histórico de mensagens de bate-papo do usuário e interagir com os servidores MCP conectados, possivelmente permitindo que o atacante execute ações em nome da vítima. O problema decorre da interpolação direta do valor authError, originado do parâmetro de consulta error description, em uma tag <script> embutida no arquivo site/ai-playground/src/server.ts.

Recomendações Atualize para agents@0.3.10. Desenvolvedores que utilizam configureOAuthCallback com tratamento de erro personalizado em suas aplicações devem garantir que todos os inputs controlados pelo usuário sejam escapados antes da interpolação.