Katalog CVE

CVE-2026-24399

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ChatterMate to framework agenta czatu AI bez kodu. W wersjach 1.0.8 i poniżej, chatbot akceptuje i wykonuje złośliwe ładunki HTML/JavaScript dostarczane jako wejście czatu, co pozwala na dostęp do wrażliwych danych po stronie klienta.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do kradzieży danych, takich jak tokeny localStorage i ciasteczka, co stwarza poważne zagrożenie dla bezpieczeństwa użytkowników.

Rekomendacja

Zaleca się aktualizację do wersji 1.0.9, w której problem został naprawiony, aby zabezpieczyć aplikację przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

ChatterMate is a no-code AI chatbot agent framework. In versions 1.0.8 and below, the chatbot accepts and executes malicious HTML/JavaScript payloads when supplied as chat input. Specifically, an <iframe> payload containing a javascript: URI can be processed and executed in the browser context. This allows access to sensitive client-side data such as localStorage tokens and cookies, resulting in client-side injection. This issue has been fixed in version 1.0.9.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS