Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en NextChat (CVE-2025-50733)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
22/08/2025
Última modificación:
26/08/2025

Descripción

NextChat contiene una vulnerabilidad de cross-site scripting (XSS) en el componente HTMLPreview de artifacts.tsx que permite a los atacantes ejecutar código JavaScript arbitrario al renderizar contenido HTML en la interfaz de chat de la IA. Esta vulnerabilidad se produce porque el HTML generado por el usuario, procedente de las respuestas de la IA, se renderiza en un iframe con el permiso "allow-scripts" de sandbox sin la debida depuración. Esto puede explotarse mediante avisos manipulados específicamente que provocan que la IA genere código HTML/JavaScript malicioso. Cuando un usuario visualiza la vista previa HTML, el JavaScript inyectado se ejecuta en el contexto del navegador del usuario, lo que potencialmente permite a los atacantes extraer información confidencial (incluidas las claves de API almacenadas en localStorage), realizar acciones en nombre del usuario y robar datos de la sesión.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información