CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-24399

Critical
Published: Translated: NVD NIST

Summary

ChatterMate to framework agenta czatu AI bez kodu. W wersjach 1.0.8 i poniżej, chatbot akceptuje i wykonuje złośliwe ładunki HTML/JavaScript dostarczane jako wejście czatu, co pozwala na dostęp do wrażliwych danych po stronie klienta.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do kradzieży danych, takich jak tokeny localStorage i ciasteczka, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.

Recommendation

Zaleca się aktualizację do wersji 1.0.9, w której problem został naprawiony, aby zabezpieczyć aplikację przed potencjalnymi atakami.

Original NVD description (English source)

ChatterMate is a no-code AI chatbot agent framework. In versions 1.0.8 and below, the chatbot accepts and executes malicious HTML/JavaScript payloads when supplied as chat input. Specifically, an <iframe> payload containing a javascript: URI can be processed and executed in the browser context. This allows access to sensitive client-side data such as localStorage tokens and cookies, resulting in client-side injection. This issue has been fixed in version 1.0.9.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS