Vulnerabilidades críticas en ChatterMate 2026
Vulnerabilidad - 13/02
Introducción
CVE-2026-24399 es una vulnerabilidad de inyección de contenido en el lado del cliente similar a cross-site scripting que afecta a ChatterMate, un framework para crear chatbots de IA sin código. En versiones 1.0.8 y anteriores de ChatterMate, el chatbot puede aceptar y ejecutar HTML/JavaScript malicioso cuando se envía como entrada de chat. Un <iframe> con una URI tipo javascript: puede ser procesado y ejecutado dentro del contexto del navegador del usuario, lo que puede permitir a un atacante obtener acceso a datos sensibles en el cliente, como tokens de localStorage y cookies, lo que abre la puerta a robo de sesión o exfiltración de información del usuario afectado.
Análisis
CVE-2026-24399 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N - 9,3
CVE-2026-24399 es una vulnerabilidad crítica de tipo XSS (Cross-Site Scripting) en ChatterMate. El error ocurre porque el software no sanitiza adecuadamente las entradas de usuario antes de mostrarlas en el navegador. Si un atacante introduce código HTML/JavaScript malicioso a través del chat, este puede ejecutarse en el navegador de otra persona que interactúe con el chatbot. El código inyectado podría accedr a información del cliente, como tokens de sesión en localStorage o cookies, lo que puede conducir a robo de sesión u otras acciones maliciosas en nombre de la víctima.
Versiones afectadas
Todas las versiones hasta la 1.0.8 incluida.
Recomendaciones
Actualizar a 1.0.9 o posterior.
Workarounds
No hay workarounds para esta vulnerabilidad.