CVE-2026-24399
KrytyczneStreszczenie
ChatterMate to framework agenta czatu AI bez kodu. W wersjach 1.0.8 i poniżej, chatbot akceptuje i wykonuje złośliwe ładunki HTML/JavaScript dostarczane jako wejście czatu, co pozwala na dostęp do wrażliwych danych po stronie klienta.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do kradzieży danych, takich jak tokeny localStorage i ciasteczka, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 1.0.9, w której problem został naprawiony, aby zabezpieczyć aplikację przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
ChatterMate is a no-code AI chatbot agent framework. In versions 1.0.8 and below, the chatbot accepts and executes malicious HTML/JavaScript payloads when supplied as chat input. Specifically, an <iframe> payload containing a javascript: URI can be processed and executed in the browser context. This allows access to sensitive client-side data such as localStorage tokens and cookies, resulting in client-side injection. This issue has been fixed in version 1.0.9.

