Plataforma
javascript
Componente
chattermate.chat
Corrigido em
1.0.10
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta no ChatterMate, um framework de chatbot AI no-code. Versões 1.0.8 e anteriores permitem que atacantes injetem e executem payloads maliciosos HTML/JavaScript através da entrada do chat, comprometendo a segurança do cliente. A vulnerabilidade foi corrigida na versão 1.0.9, e a atualização é altamente recomendada.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute scripts maliciosos no navegador da vítima. Isso pode levar ao roubo de informações confidenciais armazenadas no localStorage, como tokens de autenticação e cookies de sessão. Com acesso a esses dados, o atacante pode potencialmente assumir a identidade do usuário, realizar ações em seu nome e comprometer a integridade do sistema. A natureza client-side da injeção torna a detecção mais desafiadora, aumentando o potencial de impacto.
Esta vulnerabilidade foi divulgada em 2026-01-24. Não há evidências públicas de exploração ativa no momento. Não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um payload <iframe> com javascript: URI demonstra a facilidade de exploração, tornando-a uma preocupação significativa.
Organizations deploying ChatterMate for customer service, internal communication, or any application where user input is processed by the chatbot are at risk. Specifically, deployments using default configurations without input validation are particularly vulnerable. Any environment where sensitive user data is stored in browser local storage is also at increased risk.
• javascript / web:
// Check for suspicious iframes in chatbot input logs
// Look for javascript: URIs within iframe src attributes• generic web:
# Check access logs for requests containing javascript: URIs
grep 'javascript:' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária é a atualização imediata para a versão 1.0.9 do ChatterMate. Se a atualização imediata não for possível, considere implementar medidas de validação e sanitização rigorosas na entrada do chat para prevenir a injeção de código malicioso. Implementar uma Web Application Firewall (WAF) com regras específicas para bloquear payloads XSS comuns pode fornecer uma camada adicional de proteção. Monitore logs de acesso e erros em busca de padrões suspeitos de injeção de script.
Atualize ChatterMate para a versão 1.0.9 ou superior. Esta versão corrige a vulnerabilidade XSS armazenada que permite a execução de código malicioso no contexto do navegador do usuário. A atualização evitará o acesso não autorizado a dados sensíveis como tokens e cookies.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24399 is a critical Cross-Site Scripting (XSS) vulnerability in ChatterMate versions 1.0.8 and below, allowing attackers to inject malicious code via chat input.
Yes, if you are using ChatterMate version 1.0.8 or earlier, you are affected by this vulnerability.
Upgrade ChatterMate to version 1.0.9 or later to resolve this vulnerability. Consider input validation as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a high likelihood of future attacks.
Refer to the ChatterMate official website or security advisory channels for the latest information and updates regarding CVE-2026-24399.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.