Agent Zero before version 1.15 contains a stored cross-site scripting vulnerability that allows attackers to execute arbitrary JavaScript in the application origin by serving SVG files through the image_get API endpoint without Content-Security-Policy, X-Content-Type-Options, or Content-Disposition headers. Attackers can place a crafted SVG file containing script tags in any path readable by the agent-zero process and lure an authenticated user to the image_get endpoint, causing the browser to execute the malicious script, steal the csrf_token cookie, and perform unauthorized API calls on behalf of the victim.
Agent Zero before version 1.15 contains a stored XSS vulnerability in the image_get API endpoint that allows attackers to execute arbitrary JavaScript by serving malicious SVG files without proper security headers. Attackers can steal CSRF tokens and perform unauthorized API calls on behalf of authenticated users.
ثغرة XSS مخزنة في Agent Zero تسمح للمهاجمين بتنفيذ كود JavaScript عشوائي من خلال ملفات SVG ضارة يتم تقديمها عبر نقطة نهاية image_get بدون رؤوس أمان مناسبة. يمكن للمهاجمين سرقة رموز CSRF والتحكم في حسابات المستخدمين المصرح لهم وتنفيذ عمليات غير مصرح بها.
Agent Zero قبل الإصدار 1.15 يحتوي على ثغرة XSS مخزنة في نقطة نهاية image_get API تسمح للمهاجمين بتنفيذ JavaScript عشوائي بواسطة ملفات SVG ضارة بدون رؤوس أمان مناسبة. يمكن للمهاجمين سرقة رموز CSRF وتنفيذ استدعاءات API غير مصرح بها نيابة عن المستخدمين المصرح لهم.
Upgrade Agent Zero to version 1.15 or later immediately. Implement Content-Security-Policy headers to restrict script execution, add X-Content-Type-Options: nosniff header, set Content-Disposition: attachment header for file downloads, validate and sanitize all SVG file uploads, restrict file access permissions to prevent unauthorized reading, and conduct security awareness training for users regarding suspicious links.
قم بترقية Agent Zero إلى الإصدار 1.15 أو أحدث فوراً. طبق رؤوس Content-Security-Policy لتقييد تنفيذ البرامج النصية، أضف رأس X-Content-Type-Options: nosniff، عيّن رأس Content-Disposition: attachment لتنزيلات الملفات، تحقق من صحة وتنظيف جميع تحميلات ملفات SVG، قيّد أذونات الوصول إلى الملفات لمنع القراءة غير المصرح بها، وأجرِ تدريباً على الوعي الأمني للمستخدمين بشأن الروابط المريبة.