badlogic pi-mono SVG Artifact SvgArtifact.ts 跨站脚本

在 pi-mono 的 0.58.4 版本中，发现了一个跨站脚本 (XSS) 漏洞，具体位于 packages/web-ui/src/tools/artifacts/SvgArtifact.ts 文件中的 SVG Artifact Handler 组件。 此漏洞允许攻击者将恶意脚本注入到 Web 应用程序中，这些脚本将在访问受损页面的用户的浏览器中执行。 由于漏洞可以远程利用并且已公开披露，因此风险很高，增加了攻击的可能性。 供应商未能做出响应，这加剧了局势，使用户在短期内无法获得官方修复。 此漏洞可能允许攻击者窃取敏感信息、冒充用户执行操作，甚至控制应用程序。

Organizations and individuals using pi-mono version 0.58.4, particularly those with publicly accessible web UIs, are at risk. Shared hosting environments where multiple users share the same pi-mono instance are especially vulnerable, as an attacker could potentially compromise the entire environment through a single XSS exploit.

• javascript / web: Inspect network traffic for unusual JavaScript execution patterns within the pi-mono web UI. Look for POST requests containing SVG data with suspicious attributes. • javascript / web: Use browser developer tools to monitor for XSS alerts and unexpected script behavior when loading SVG artifacts. • javascript / web: Examine the packages/web-ui/src/tools/artifacts/SvgArtifact.ts file for any unauthorized modifications or injected code. • generic web: Monitor access logs for requests containing SVG files with unusual or potentially malicious parameters.

1. 2026-04-05Disclosure

   disclosure

1. 已保留2026-04-04
2. 发布日期2026-04-05
3. 修改日期2026-04-06
4. EPSS 更新日期2026-04-12

由于供应商未提供解决方案，缓解措施侧重于降低风险。 强烈建议避免使用 pi-mono 的 0.58.4 版本，直到发布更新。 实施严格的内容安全策略 (CSP) 可以帮助减轻 XSS 攻击的影响，方法是限制可以执行的脚本来源。 此外，应密切监控应用程序是否存在可疑活动，并考虑使用 Web 应用程序防火墙 (WAF) 来过滤恶意流量。 一旦可用，升级到更安全的版本是最终解决方案。 在此期间，谨慎和应用额外的安全措施至关重要。