badlogic pi-mono SVG Artifact SvgArtifact.ts क्रॉस साइट स्क्रिप्टिंग

pi-mono के संस्करण 0.58.4 में, SVG आर्टिफैक्ट हैंडलर घटक में फ़ाइल packages/web-ui/src/tools/artifacts/SvgArtifact.ts में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता एक हमलावर को वेब एप्लिकेशन में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है, जो तब उन उपयोगकर्ताओं के ब्राउज़रों में निष्पादित होगी जो समझौता किए गए पृष्ठ पर जाते हैं। जोखिम महत्वपूर्ण है क्योंकि शोषण दूरस्थ रूप से संभव है और भेद्यता को पहले से ही सार्वजनिक रूप से प्रकट किया जा चुका है, जिससे हमलों की संभावना बढ़ जाती है। विक्रेता की प्रतिक्रिया की कमी से स्थिति और खराब हो गई है, जिससे उपयोगकर्ताओं के पास निकट भविष्य में कोई आधिकारिक समाधान नहीं है। इस भेद्यता का उपयोग करके हमलावर संवेदनशील जानकारी चुरा सकते हैं, उपयोगकर्ता की ओर से कार्रवाई कर सकते हैं या यहां तक ​​कि एप्लिकेशन पर नियंत्रण भी ले सकते हैं।

Organizations and individuals using pi-mono version 0.58.4, particularly those with publicly accessible web UIs, are at risk. Shared hosting environments where multiple users share the same pi-mono instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single XSS exploit.

• javascript / web: Inspect network traffic for unusual JavaScript execution patterns within the pi-mono web UI. Look for POST requests containing SVG data with suspicious attributes. • javascript / web: Use browser developer tools to monitor for XSS alerts and unexpected script behavior when loading SVG artifacts. • javascript / web: Examine the packages/web-ui/src/tools/artifacts/SvgArtifact.ts file for any unauthorized modifications or injected code. • generic web: Monitor access logs for requests containing SVG files with unusual or potentially malicious parameters.

1. 2026-04-05Disclosure

   disclosure

1. आरक्षित2026-04-04
2. प्रकाशित2026-04-05
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-12

चूंकि विक्रेता ने कोई समाधान प्रदान नहीं किया है, इसलिए शमन उपाय जोखिम को कम करने पर केंद्रित हैं। pi-mono के संस्करण 0.58.4 का उपयोग करने से बचना दृढ़ता से अनुशंसित है जब तक कि एक अपडेट जारी न हो जाए। सख्त सामग्री सुरक्षा नीतियों (CSP) को लागू करने से निष्पादित किए जा सकने वाले स्क्रिप्ट के स्रोतों को प्रतिबंधित करके XSS हमलों के प्रभाव को कम करने में मदद मिल सकती है। इसके अतिरिक्त, एप्लिकेशन की निगरानी संदिग्ध गतिविधि के लिए की जानी चाहिए और दुर्भावनापूर्ण ट्रैफ़िक को फ़िल्टर करने के लिए वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करने पर विचार करना चाहिए। एक बार उपलब्ध होने पर, अधिक सुरक्षित संस्करण में अपग्रेड करना अंतिम समाधान है। इस बीच, सावधानी बरतना और अतिरिक्त सुरक्षा उपायों को लागू करना महत्वपूर्ण है।