Plataforma
javascript
Componente
promptcraft-forge-studio
Corregido en
0.0.1
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en Promptcraft Forge Studio, una herramienta para evaluar y optimizar aplicaciones basadas en modelos de lenguaje grandes (LLM). La falta de una validación exhaustiva de esquemas de URL permite a atacantes inyectar código malicioso. Esta vulnerabilidad afecta a todas las versiones anteriores a 0.0.1 y puede comprometer la seguridad de las aplicaciones LLM que utilizan esta herramienta. Se ha publicado una corrección en la versión 0.0.1.
Esta vulnerabilidad XSS permite a un atacante inyectar scripts maliciosos en las páginas web generadas por Promptcraft Forge Studio. Al aprovechar esta vulnerabilidad, un atacante podría robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. El impacto es significativo, ya que podría comprometer la confidencialidad, integridad y disponibilidad de las aplicaciones LLM y la información sensible que manejan. La vulnerabilidad reside en la función de validación de URL en src/utils/validation.ts, que no bloquea correctamente los URLs data:image/svg+xml y similares, permitiendo la inyección de código JavaScript.
Esta vulnerabilidad ha sido publicada públicamente el 4 de septiembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad XSS la hace fácilmente explotable. La falta de validación de URL es un patrón común en vulnerabilidades XSS y puede ser explotado por atacantes con conocimientos básicos de seguridad web.
Developers and organizations utilizing Promptcraft Forge Studio for building and managing LLM-powered applications are at significant risk. This includes teams working with sensitive data, deploying applications in production environments, or relying on the tool for critical workflows. Shared hosting environments where multiple users share the same instance of Promptcraft Forge Studio are particularly vulnerable.
• javascript / web: Inspect network traffic for requests containing data: URLs, particularly in href or src attributes.
// Example: Check for data: URLs in a webpage
const links = document.querySelectorAll('a');
links.forEach(link => {
if (link.href.startsWith('data:')) {
console.warn('Potential XSS vulnerability: ', link.href);
}
});• generic web: Monitor access logs for unusual patterns involving URLs with embedded scripts or data URIs.
grep 'data:image/svg+xml' access.logdisclosure
Estado del Exploit
EPSS
0.04% (12% percentil)
CISA SSVC
Vector CVSS
La solución definitiva es actualizar Promptcraft Forge Studio a la versión 0.0.1, que incluye la corrección para esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen la validación y sanitización exhaustiva de todas las URLs proporcionadas por el usuario antes de utilizarlas en atributos href o src. Además, se puede considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que contengan código XSS. Monitorear los logs de la aplicación en busca de patrones sospechosos, como la presencia de URLs data: en atributos sensibles, también puede ayudar a detectar y prevenir ataques.
Actualmente no hay una solución disponible. Se recomienda evitar el uso de URLs controladas por el usuario en los atributos href/src hasta que se publique una actualización que corrija la vulnerabilidad. Monitoree el repositorio de GitHub para obtener actualizaciones y posibles soluciones alternativas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58361 is a critical XSS vulnerability in Promptcraft Forge Studio allowing attackers to execute scripts via malicious data:image/svg+xml URLs.
Yes, if you are using Promptcraft Forge Studio versions 0.0.0 and above, you are affected by this vulnerability.
Upgrade to version 0.0.1 of Promptcraft Forge Studio to resolve the vulnerability. Consider WAF rules as a temporary workaround.
While no public exploits are currently known, the ease of exploitation suggests a high probability of active campaigns.
Refer to the official Promptcraft Forge Studio documentation and release notes for the advisory regarding CVE-2025-58361.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.