Plataforma
nodejs
Componente
@lobehub/chat
Corregido en
2.0.1
1.143.3
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el componente @lobehub/chat, específicamente en el renderizado de diagramas Mermaid. Esta vulnerabilidad permite a atacantes inyectar y ejecutar código JavaScript arbitrario dentro del contexto de la aplicación, pudiendo escalar a una ejecución remota de código (RCE). La vulnerabilidad afecta a versiones de @lobehub/chat menores o iguales a 1.143.2 y se recomienda actualizar a la versión 2.0.0-next.180 para solucionar el problema.
La vulnerabilidad de XSS almacenada en @lobehub/chat presenta un riesgo significativo debido a su potencial para escalar a RCE. Un atacante podría inyectar código JavaScript malicioso dentro de un diagrama Mermaid, que luego sería renderizado y ejecutado en el navegador de un usuario. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar comandos en el servidor subyacente, dependiendo de la configuración y permisos de la aplicación. La capacidad de escalar a RCE amplía significativamente el alcance del impacto, permitiendo a los atacantes comprometer la integridad y confidencialidad de los datos y sistemas.
Esta vulnerabilidad fue publicada el 20 de enero de 2026. Aunque no se ha confirmado la explotación activa en entornos reales, la severidad CRÍTICA y el potencial de escalada a RCE sugieren un riesgo significativo. La disponibilidad de un proof-of-concept (POC) público podría facilitar la explotación por parte de atacantes. Se recomienda monitorizar la situación y aplicar las mitigaciones lo antes posible.
Applications utilizing @lobehub/chat versions prior to 2.0.0-next.180 are at significant risk. This includes chatbot applications, AI-powered assistants, and any system integrating @lobehub/chat for rendering Mermaid diagrams. Shared hosting environments where multiple applications share the same server instance are particularly vulnerable, as a compromise in one application could potentially impact others.
• nodejs / supply-chain:
Get-Process -Name node | Where-Object {$_.Path -match '@lobehub/chat'}• nodejs / supply-chain:
Get-WinEvent -LogName Application -Filter "EventID=4688 AND SubjectUserName='@lobehub/chat'"• generic web: Inspect HTTP requests and responses for unusual JavaScript code within Mermaid diagrams. Look for obfuscated or encoded scripts.
disclosure
Estado del Exploit
EPSS
0.09% (26% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 2.0.0-next.180 de @lobehub/chat, que incluye la corrección para la XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y sanitización rigurosa de todas las entradas de usuario que se utilizan en la generación de diagramas Mermaid. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código JavaScript. La monitorización de los logs de la aplicación en busca de patrones de ejecución de código inusuales también puede ayudar a detectar y responder a posibles ataques.
Actualice Lobe Chat a la versión 2.0.0-next.180 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS que podría permitir la ejecución remota de código. La actualización mitigará el riesgo de que un atacante explote esta vulnerabilidad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23733 is a critical stored Cross-Site Scripting (XSS) vulnerability in @lobehub/chat versions up to 1.143.2 that can lead to Remote Code Execution (RCE) through malicious Mermaid diagrams.
If you are using @lobehub/chat versions 1.143.2 or earlier, you are vulnerable to this XSS/RCE vulnerability.
Upgrade to version 2.0.0-next.180 or later of @lobehub/chat. Implement input validation and content security policies as temporary mitigations.
While no active exploitation campaigns have been publicly reported, the vulnerability's severity and potential for RCE make it a high-priority target.
Refer to the official @lobehub/chat project repository and release notes for the latest advisory and security updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.