aqt: Vulnerabilidade de leitura de arquivos via iframes no editor

A comunicação entre páginas webview e o backend Rust do Anki usa uma API localhost interna. Medidas para impedir que scripts de usuário acessem essa API permitem, inadvertidamente, que scripts incluídos via iframes no editor acessem a API, possibilitando leitura arbitrária de arquivos através de métodos como getImageForOcclusion.

Usuários desktop do Anki (Windows, macOS, Linux) que importam um .apkg não confiável e visualizam um cartão com um iframe incorporado.

Atualize o aqt para a versão 25.09.4 ou superior, ou adote soluções alternativas: não importe arquivos .apkg de fontes não confiáveis, inspecione o conteúdo de .apkg em busca de scripts e bloqueie requisições de rede inesperadas do processo do Anki.