badlogic pi-mono SVG Artifact SvgArtifact.ts サイト間スクリプティング

pi-monoのバージョン0.58.4において、SVG Artifact Handlerコンポーネントのファイルpackages/web-ui/src/tools/artifacts/SvgArtifact.ts内でクロスサイトスクリプティング（XSS）の脆弱性が確認されました。この脆弱性を悪用すると、攻撃者がWebアプリケーションに悪意のあるスクリプトを注入し、脆弱性の影響を受けたページを閲覧するユーザーのブラウザでそのスクリプトが実行される可能性があります。攻撃がリモートで実行可能であり、脆弱性がすでに公に開示されているため、リスクは高くなっています。ベンダーからの対応がないことは状況をさらに悪化させ、ユーザーは近い将来に公式な修正を得られない可能性があります。この脆弱性を悪用すると、攻撃者は機密情報を盗んだり、ユーザーになりすまして操作を実行したり、アプリケーションの制御を奪ったりする可能性があります。

Organizations and individuals using pi-mono version 0.58.4, particularly those with publicly accessible web UIs, are at risk. Shared hosting environments where multiple users share the same pi-mono instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single XSS exploit.

• javascript / web: Inspect network traffic for unusual JavaScript execution patterns within the pi-mono web UI. Look for POST requests containing SVG data with suspicious attributes. • javascript / web: Use browser developer tools to monitor for XSS alerts and unexpected script behavior when loading SVG artifacts. • javascript / web: Examine the packages/web-ui/src/tools/artifacts/SvgArtifact.ts file for any unauthorized modifications or injected code. • generic web: Monitor access logs for requests containing SVG files with unusual or potentially malicious parameters.

1. 2026-04-05Disclosure

   disclosure

1. 予約済み2026-04-04
2. 公開日2026-04-05
3. 更新日2026-04-06
4. EPSS 更新日2026-04-12

ベンダーからの修正プログラムが提供されていないため、リスク軽減策はリスクの低減に焦点を当てています。修正プログラムがリリースされるまで、pi-monoのバージョン0.58.4の使用は避けることを強くお勧めします。Content Security Policy（CSP）を厳格に実装することで、実行できるスクリプトのソースを制限し、XSS攻撃の影響を軽減できます。さらに、アプリケーションを注意深く監視し、悪意のあるトラフィックをフィルタリングするためにWebアプリケーションファイアウォール（WAF）の使用を検討する必要があります。利用可能になり次第、より安全なバージョンへのアップグレードが最終的な解決策です。それまでの間、注意を払い、追加のセキュリティ対策を適用することが重要です。