Новый API — это шлюз большого языкового режима (LLM) и система управления активами искусственного интеллекта (AI). До версии 0.10.8-alpha.9 потенциально опасная операция происходила в компоненте MarkdownRenderer.jsx, что позволяло использовать межсайтовый скриптинг (XSS), когда модель выводит элементы, содержащие тег <script>. Версия 0.10.8-alpha.9 устраняет проблему.
Показать оригинальное описание (EN)
New API is a large language mode (LLM) gateway and artificial intelligence (AI) asset management system. Prior to version 0.10.8-alpha.9, a potential unsafe operation occurs in component `MarkdownRenderer.jsx`, allowing for Cross-Site Scripting(XSS) when the model outputs items containing `<script>` tag. Version 0.10.8-alpha.9 fixes the issue.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1