Vulnerabilidad en TelegAI (CVE-2025-51860)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

22/07/2025

Última modificación:

25/07/2025

Descripción

Cross-site scripting (XSS) almacenado en TelegAI (telegai.com) el 26/05/2025 en sus componentes de chat y contenedor de personajes. Un atacante puede ejecutar scripts arbitrarios del lado del cliente manipulando un personaje de IA con payloads XSS SVG en la descripción, el saludo, el diálogo de ejemplo o el mensaje del sistema (lo que indica al LLM que incorpore el payload XSS en su respuesta de chat). Cuando un usuario interactúa con dicho personaje de IA malicioso o simplemente consulta su perfil, el script se ejecuta en el navegador del usuario. Una explotación exitosa puede provocar el robo de información confidencial, como tokens de sesión, lo que podría resultar en el secuestro de cuentas.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.10

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/Secsys-FDU/CVE-2025-51860