Plataforma
javascript
Componente
deepchat
Corregido en
0.5.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en DeepChat, un asistente inteligente basado en inteligencia artificial. Esta vulnerabilidad, presente en las versiones 0.0.0 hasta la 0.5.0, reside en el renderizador de diagramas Mermaid y permite a un atacante ejecutar código JavaScript arbitrario dentro del contexto de la aplicación. La gravedad de esta vulnerabilidad se agrava por la posibilidad de escalarla a Ejecución Remota de Código (RCE) a través del puente Electron IPC, permitiendo el registro y la ejecución de un servidor MCP (Model Context Protocol) malicioso.
La vulnerabilidad XSS en DeepChat permite a un atacante inyectar scripts maliciosos en las páginas web de la aplicación. Estos scripts pueden robar información sensible del usuario, como credenciales de inicio de sesión o datos personales. Lo más preocupante es la escalabilidad a RCE. Al explotar el puente Electron IPC, un atacante puede registrar y ejecutar un servidor MCP malicioso, obteniendo control sobre el sistema subyacente. Esto podría resultar en la ejecución de comandos arbitrarios, la instalación de malware o el acceso no autorizado a datos confidenciales. La capacidad de ejecutar código arbitrario convierte esta vulnerabilidad en un riesgo crítico para la seguridad de los usuarios de DeepChat.
Actualmente, no se dispone de información pública sobre campañas de explotación activas dirigidas a CVE-2025-66222. Sin embargo, la combinación de XSS y la posibilidad de RCE a través de Electron IPC la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad ha sido publicada el 3 de diciembre de 2025. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
DeepChat users who rely on the Mermaid diagram rendering functionality are at risk. This includes developers integrating DeepChat into their applications, as well as end-users who interact with DeepChat's interface. Organizations using DeepChat in environments with sensitive data or critical systems are particularly vulnerable.
• javascript / web: Inspect DeepChat application code for instances where user-supplied data is directly incorporated into Mermaid diagrams without proper sanitization. • javascript / web: Monitor network traffic for suspicious requests related to Electron IPC communication, particularly those involving MCP server registration. • javascript / web: Review DeepChat logs for any errors or warnings related to script execution or unexpected behavior within the Mermaid diagram renderer. • generic web: Use curl/wget to test for the ability to inject JavaScript into Mermaid diagrams via URL parameters or form fields.
disclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-66222 es actualizar DeepChat a la versión 0.5.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso al puente Electron IPC, validando y sanitizando rigurosamente todas las entradas de usuario, puede ayudar a reducir el riesgo de explotación. Además, se recomienda monitorear los registros de la aplicación en busca de actividades sospechosas, como intentos de registro de servidores MCP no autorizados. Después de la actualización, confirme la mitigación revisando los registros de la aplicación y verificando que el renderizador de diagramas Mermaid no sea susceptible a la inyección de scripts.
Actualice DeepChat a la versión 0.5.0 o posterior. Esta versión contiene una corrección para la vulnerabilidad XSS que podría permitir la ejecución remota de código. La actualización mitigará el riesgo de que un atacante explote esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-66222 is a critical vulnerability in DeepChat versions 0.0.0 through 0.4.9 that allows attackers to execute JavaScript, potentially leading to Remote Code Execution (RCE) through the Electron IPC bridge.
If you are using DeepChat versions 0.0.0 through 0.4.9 and utilize the Mermaid diagram rendering functionality, you are potentially affected by this vulnerability.
Upgrade DeepChat to version 0.5.0 or later to address the XSS vulnerability and prevent potential RCE exploitation. Implement input sanitization as a temporary workaround if immediate upgrade is not possible.
While no active exploitation has been confirmed as of December 3, 2025, the potential for RCE makes it a high-priority vulnerability to monitor.
Refer to the DeepChat project's official website or security advisory channels for the latest information and updates regarding CVE-2025-66222.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.