CVE-2026-39107
MediumCVSS 6.3Summary
W interfejsie webowym Kimi AI v1.0 występuje podatność typu Cross Site Scripting w funkcji 'Podgląd'. Aplikacja nieprawidłowo sanitizuje lub koduje ładunki HTML/JavaScript generowane przez model AI, co pozwala na wykonanie złośliwego kodu w sesji przeglądarki ofiary.
Risk Assessment
Podatność ta może prowadzić do wykonania dowolnego kodu JavaScript w przeglądarkach użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników.
Recommendation
Zaleca się aktualizację aplikacji do najnowszej wersji, która poprawia sanitizację danych wejściowych oraz wprowadzenie dodatkowych mechanizmów zabezpieczających przed atakami XSS.
Original NVD description (English source)
A Cross Site Scripting vulnerability exists in the Kimi AI v1.0 web interface's 'Preview' feature. The application fails to properly sanitize or encode HTML/JavaScript payloads generated by the AI model. When a user switches to the 'Preview' tab to view AI-generated code, the malicious payload is rendered directly into the DOM, leading to arbitrary JavaScript execution in the victim's browser session.

