🚨CVE info : 🚨
🛠️ Produit concerné : Visionatrix
📆 Date de publication : 2025-06-23
🎯 Score CVSS v3.1 : 🟠 8.8 (HIGH)
🧪 Vecteur CVSS : accès réseau
📄 Description : Visionatrix est un outil de traitement des médias AI utilisant Comfyui. Dans les versions 1.5.0 à avant 2.5.1, le point de terminaison / Docs / Flows est vulnérable à une attaque XSS réfléchie (script de site transversal) permettant une prise de contrôle complète de l'application et l'exfiltration des secrets stockés dans l'application. L'implémentation utilise la fonction get_swagger_ui_html à partir de fastapi. Cette fonction ne codera pas ou ne désinfecte pas ses arguments avant de les utiliser pour générer le HTML pour la page de documentation Swagger et n'est pas destiné à
🔥 Risques : prise de contrôle totale de l'application, exfiltration de secrets
💡 Opportunités : exécution d'attaques de phishing, compromission des données
🔧 Patch : oui/lien disponible sur le site du produit
🧨 Exploit : Exploit public
📚 Références :