Katalog CVE

CVE-2026-39107

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

W interfejsie webowym Kimi AI v1.0 występuje podatność typu Cross Site Scripting w funkcji 'Podgląd'. Aplikacja nieprawidłowo sanitizuje lub koduje ładunki HTML/JavaScript generowane przez model AI, co pozwala na wykonanie złośliwego kodu w sesji przeglądarki ofiary.

Ocena ryzyka

Podatność ta może prowadzić do wykonania dowolnego kodu JavaScript w przeglądarkach użytkowników, co stwarza poważne zagrożenie dla bezpieczeństwa danych i prywatności użytkowników.

Rekomendacja

Zaleca się aktualizację aplikacji do najnowszej wersji, która poprawia sanitizację danych wejściowych oraz wprowadzenie dodatkowych mechanizmów zabezpieczających przed atakami XSS.

Oryginalny opis (angielski, źródło NVD)

A Cross Site Scripting vulnerability exists in the Kimi AI v1.0 web interface's 'Preview' feature. The application fails to properly sanitize or encode HTML/JavaScript payloads generated by the AI model. When a user switches to the 'Preview' tab to view AI-generated code, the malicious payload is rendered directly into the DOM, leading to arbitrary JavaScript execution in the victim's browser session.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS