प्लेटफ़ॉर्म
javascript
घटक
chattermate.chat
में ठीक किया गया
1.0.10
CVE-2026-24399 ChatterMate में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है, जो हमलावरों को दुर्भावनापूर्ण HTML/JavaScript कोड को निष्पादित करने की अनुमति देती है। यह भेद्यता संवेदनशील डेटा, जैसे कि localStorage टोकन और कुकीज़ तक अनधिकृत पहुंच का कारण बन सकती है। यह भेद्यता ChatterMate के संस्करण 1.0.8 और उससे पहले को प्रभावित करती है, और संस्करण 1.0.9 में ठीक की गई है।
यह XSS भेद्यता हमलावरों को ChatterMate एप्लिकेशन के भीतर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। एक हमलावर एक <iframe> पेलोड का उपयोग करके, जिसमें एक javascript: URI शामिल है, क्लाइंट-साइड डेटा जैसे localStorage टोकन और कुकीज़ तक पहुंच प्राप्त कर सकता है। इन टोकन और कुकीज़ का उपयोग फिर उपयोगकर्ता सत्र को हाईजैक करने, संवेदनशील जानकारी चुराने या एप्लिकेशन के व्यवहार को बदलने के लिए किया जा सकता है। इस भेद्यता का उपयोग फ़िशिंग हमलों को लॉन्च करने, उपयोगकर्ता खातों को नियंत्रित करने या एप्लिकेशन को दुर्भावनापूर्ण उद्देश्यों के लिए उपयोग करने के लिए भी किया जा सकता है। यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि यह क्लाइंट-साइड इंजेक्शन की अनुमति देती है, जिसका अर्थ है कि हमलावर एप्लिकेशन के फ्रंटएंड को सीधे लक्षित कर सकते हैं।
CVE-2026-24399 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और आसानी से शोषण करने की क्षमता के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। इस भेद्यता को CISA KEV सूची में जोड़ा गया है, जो इसके संभावित जोखिम को दर्शाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कांसेप्ट (PoC) मौजूद हो सकते हैं, जो हमलावरों के लिए इसका शोषण करना आसान बनाते हैं।
Organizations deploying ChatterMate for customer service, internal communication, or any application where user input is processed by the chatbot are at risk. Specifically, deployments using default configurations without input validation are particularly vulnerable. Any environment where sensitive user data is stored in browser local storage is also at increased risk.
• javascript / web:
// Check for suspicious iframes in chatbot input logs
// Look for javascript: URIs within iframe src attributes• generic web:
# Check access logs for requests containing javascript: URIs
grep 'javascript:' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-24399 को कम करने के लिए, ChatterMate को तुरंत संस्करण 1.0.9 में अपडेट करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू किया जा सकता है ताकि दुर्भावनापूर्ण HTML/JavaScript कोड को निष्पादित करने से रोका जा सके। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग XSS हमलों को ब्लॉक करने के लिए भी किया जा सकता है। इसके अतिरिक्त, संवेदनशील डेटा को सुरक्षित रूप से संग्रहीत और प्रसारित किया जाना चाहिए, और उपयोगकर्ता को मजबूत पासवर्ड का उपयोग करने और नियमित रूप से अपने पासवर्ड बदलने के लिए प्रोत्साहित किया जाना चाहिए। अपडेट के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, एप्लिकेशन का परीक्षण करें।
ChatterMate को संस्करण 1.0.9 या उससे ऊपर के संस्करण में अपडेट करें। यह संस्करण संग्रहीत XSS भेद्यता को ठीक करता है जो उपयोगकर्ता के ब्राउज़र संदर्भ में दुर्भावनापूर्ण कोड के निष्पादन की अनुमति देता है। अपडेट अनधिकृत रूप से संवेदनशील डेटा जैसे टोकन और कुकीज़ तक पहुंच को रोकेगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24399 ChatterMate में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण कोड को निष्पादित करने की अनुमति देती है।
यदि आप ChatterMate के संस्करण 1.0.8 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
ChatterMate को तुरंत संस्करण 1.0.9 में अपडेट करें।
हालांकि अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसकी गंभीरता के कारण यह शोषण के लिए एक आकर्षक लक्ष्य है।
ChatterMate के आधिकारिक सलाहकार के लिए, कृपया ChatterMate की वेबसाइट या सुरक्षा सलाह पृष्ठ देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।