Múltiples vulnerabilidades en EmbedAI
Fecha de publicación 27/01/2025
Identificador
INCIBE-2025-0047
Importancia
4 - Alta
Recursos Afectados
- EmbedAI, versiones anteriores a la 2.1.
Descripción
INCIBE ha coordinado la publicación de 9 vulnerabilidades, 5 de severidad alta y 4 de severidad media, que afectan a EmbedAI, una herramienta para la creación de chatbots, las cuales han sido descubierta por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.
- CVE-2025-0739: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. | CWE-284
- CVE-2025-0740: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. | CWE-284
- CVE-2025-0741: CVSS v3.1: 5.8 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N. | CWE-284
- CVE-2025-0742: CVSS v3.1: 5.8 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N. | CWE-284
- CVE-2025-0743: CVSS v3.1: 5.3 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N. | CWE-284
- CVE-2025-0744: CVSS v3.1: 7.5 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N. | CWE-284
- CVE-2025-0745: CVSS v3.1: 7.5 | CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N. | CWE-284
- CVE-2025-0746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N. | CWE-79
- CVE-2025-0747: CVSS v3.1: 8.6 | CVSS AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N. | CWE-79
Solución
La vulnerabilidad ha sido solucionada por el equipo de EmbedAI en la versión 2.1.
Detalle
- CVE-2025-0739: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado mostrar información de suscripción de otros usuarios modificando el parámetro "SUSCBRIPTION_ID" del endpoint "/demos/embedai/subscriptions/show/<SUSCBRIPTION_ID>".
- CVE-2025-0740: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado obtener mensajes de chat pertenecientes a otros usuarios modificando el "CHAT_ID" del endpoint "/embedai/chats/load_messages?chat_id=<CHAT_ID>".
- CVE-2025-0741: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado escribir mensajes en el chat de otros usuarios modificando el parámetro "chat_id" de la solicitud POST "/embedai/chats/send_message".
- CVE-2025-0742: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado obtener archivos almacenados por otros usuarios modificando el "FILE_ID" del endpoint "/embedai/files/show/<FILE_ID>".
- CVE-2025-0743: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado aprovechar el endpoint "/embedai/visits/show/<VISIT_ID>" para obtener información sobre las visitas realizadas por otros usuarios. La información proporcionada por este endpoint incluye la dirección IP, el userAgent y la ubicación del usuario que visitó la página web.
- CVE-2025-0744: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado cambiar su plan de suscripción sin pagar realizando una solicitud POST modificando los parámetros del endpoint "/demos/embedai/pmt_cash_on_delivery/pay".
- CVE-2025-0745: vulnerabilidad de control de acceso inadecuado en EmbedAI. Esta permite a un atacante autenticado obtener las copias de seguridad de la base de datos solicitando el endpoint "/embedai/app/uploads/database/<SQL_FILE>".
- CVE-2025-0746: vulnerabilidad de Cross Site Scripting reflejada en EmbedAI. Esta permite a un atacante autenticado crear una URL maliciosa aprovechando el punto de conexión "/embedai/users/show/<SCRIPT>" para inyectar el código JavaScript malicioso. Este código JavaScript se ejecutará cuando un usuario abra la URL maliciosa.
- CVE-2025-0747: vulnerabilidad de Cross Site Scripting almacenada en EmbedAI. Esta permite a un atacante autenticado inyectar un código JavaScript malicioso en un mensaje que se ejecutará cuando un usuario abra el chat.
Listado de referencias
Etiquetas