Plataforma
javascript
Componente
deepchat
Corregido en
0.5.4
Se ha descubierto una vulnerabilidad crítica de Cross-Site Scripting (XSS) que puede escalar a ejecución remota de código (RCE) en DeepChat, una plataforma de agente de inteligencia artificial de código abierto. Esta vulnerabilidad, presente en versiones anteriores a 0.5.3, se origina en el componente de renderización de diagramas Mermaid debido a una configuración insegura y una interfaz IPC expuesta. La actualización a la versión 0.5.3 corrige esta vulnerabilidad.
La vulnerabilidad permite a un atacante inyectar código JavaScript arbitrario en la aplicación DeepChat. Debido a la exposición de la interfaz Electron IPC renderer al DOM, este XSS se puede explotar para lograr RCE, permitiendo la ejecución de comandos del sistema. Un atacante podría comprometer la confidencialidad, integridad y disponibilidad del sistema, potencialmente obteniendo acceso no autorizado a datos sensibles o tomando control total del servidor. La naturaleza de RCE implica un alto riesgo y un amplio 'blast radius', ya que el atacante puede realizar una variedad de acciones maliciosas una vez que ha comprometido el sistema.
Esta vulnerabilidad ha sido publicada el 16 de diciembre de 2025. La combinación de una alta puntuación CVSS (9.7) y la posibilidad de RCE sugieren un alto nivel de riesgo. Aunque no se han reportado campañas de explotación activas a la fecha, la naturaleza crítica de la vulnerabilidad y la disponibilidad de la información técnica la convierten en un objetivo potencial para atacantes. Se recomienda monitorear activamente los sistemas para detectar signos de explotación.
Organizations utilizing DeepChat for AI agent development and deployment are at risk, particularly those relying on older versions (≤ 0.5.3). Shared hosting environments where DeepChat is deployed alongside other applications are also at increased risk, as a successful exploit could potentially compromise the entire host.
• javascript / web: Inspect DeepChat's JavaScript code for instances of eval() or new Function() calls related to Mermaid rendering.
// Example: Search for calls to eval() within Mermaid rendering functions
console.log(code.toString().match(/eval\s*\(/g) || []);• javascript / web: Monitor network traffic for unusual JavaScript payloads being sent to the DeepChat application. • javascript / web: Examine the Electron IPC channel for unexpected messages or commands being executed. • generic web: Review DeepChat's access and error logs for any signs of XSS attempts or unusual activity related to Mermaid diagrams.
disclosure
Estado del Exploit
EPSS
0.27% (50% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar DeepChat a la versión 0.5.3 o superior, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda revisar y endurecer la configuración de Mermaid para evitar la inyección de código malicioso. Además, restringir el acceso a la interfaz IPC renderer puede ayudar a reducir el riesgo de explotación. Implementar reglas de firewall o proxies que bloqueen el tráfico malicioso hacia la aplicación también puede ser una medida preventiva. Después de la actualización, confirme la mitigación revisando los logs del sistema en busca de intentos de explotación.
Actualice DeepChat a la versión 0.5.3 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS en el componente de renderizado de diagramas Mermaid. La actualización evitará la ejecución remota de código arbitrario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-67744 is a critical vulnerability in DeepChat versions prior to 0.5.3, allowing attackers to execute arbitrary code via a flawed Mermaid diagram rendering component. It combines XSS and RCE.
You are affected if you are using DeepChat version 0.5.3 or earlier. Upgrade to version 0.5.3 to resolve the vulnerability.
Upgrade DeepChat to version 0.5.3 or later. If immediate upgrade is not possible, consider temporary workarounds like restricting access to the Electron IPC interface.
As of December 16, 2025, there are no confirmed reports of active exploitation, but the vulnerability's severity warrants immediate attention.
Refer to the DeepChat project's official website or GitHub repository for the latest security advisories and release notes related to CVE-2025-67744.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.