Plateforme
javascript
Composant
chattermate.chat
Corrigé dans
1.0.10
La vulnérabilité CVE-2026-24399 est une faille de Cross-Site Scripting (XSS) critique découverte dans ChatterMate, un framework d'agent de chatbot AI no-code. Cette faille permet à un attaquant d'injecter et d'exécuter des scripts malveillants dans le contexte du navigateur de l'utilisateur. Les versions de ChatterMate inférieures ou égales à 1.0.8 sont affectées, et une correction a été déployée dans la version 1.0.9.
Cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les conversations du chatbot. L'attaquant peut exploiter cette faille en fournissant une charge utile <iframe> contenant un URI javascript: comme entrée de chat. Une fois exécuté, ce code peut accéder à des données sensibles côté client, telles que les jetons et les cookies stockés dans localStorage. Cela pourrait permettre à un attaquant de voler des informations d'identification, de modifier le comportement de l'application ou de lancer des attaques contre d'autres utilisateurs. L'impact est amplifié par le fait que ChatterMate est souvent utilisé dans des environnements où la sécurité est primordiale, ce qui rend la compromission des données particulièrement préjudiciable.
La vulnérabilité CVE-2026-24399 a été publiée le 24 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun Proof of Concept (PoC) public n'a été rendu disponible, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable. La gravité élevée de la vulnérabilité (CVSS 9.3) indique un risque significatif si elle n'est pas corrigée rapidement.
Organizations deploying ChatterMate for customer service, internal communication, or any application where user input is processed by the chatbot are at risk. Specifically, deployments using default configurations without input validation are particularly vulnerable. Any environment where sensitive user data is stored in browser local storage is also at increased risk.
• javascript / web:
// Check for suspicious iframes in chatbot input logs
// Look for javascript: URIs within iframe src attributes• generic web:
# Check access logs for requests containing javascript: URIs
grep 'javascript:' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à niveau ChatterMate vers la version 1.0.9 ou supérieure, qui corrige cette vulnérabilité. Si la mise à niveau n'est pas possible immédiatement, des mesures temporaires peuvent être prises. Il est recommandé de désactiver temporairement la fonctionnalité de saisie de texte libre du chatbot ou de mettre en œuvre une validation stricte des entrées pour bloquer les charges utiles potentiellement malveillantes. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les scripts XSS peut également aider à atténuer le risque. Après la mise à niveau, vérifiez que la vulnérabilité est bien corrigée en testant l'injection de charges utiles XSS simulées.
Mettez à jour ChatterMate à la version 1.0.9 ou supérieure. Cette version corrige la vulnérabilité XSS stockée qui permet l'exécution de code malveillant dans le contexte du navigateur de l'utilisateur. La mise à jour empêchera l'accès non autorisé à des données sensibles telles que les tokens et les cookies.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24399 is a critical Cross-Site Scripting (XSS) vulnerability in ChatterMate versions 1.0.8 and below, allowing attackers to inject malicious code via chat input.
Yes, if you are using ChatterMate version 1.0.8 or earlier, you are affected by this vulnerability.
Upgrade ChatterMate to version 1.0.9 or later to resolve this vulnerability. Consider input validation as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the ChatterMate official website or security advisory channels for the latest information and updates regarding CVE-2026-24399.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.