Vulnerabilidad en ChatterBot de gunthercox (CVE-2026-23842)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
19/01/2026
Última modificación:
05/02/2026
Descripción
ChatterBot es un motor de diálogo conversacional de aprendizaje automático para crear chatbots. Las versiones de ChatterBot hasta la 1.2.10 son vulnerables a una condición de denegación de servicio causada por una gestión inadecuada de la sesión de base de datos y del pool de conexiones. Las invocaciones concurrentes del método get_response() pueden agotar el pool de conexiones subyacente de SQLAlchemy, lo que resulta en una indisponibilidad persistente del servicio y requiere un reinicio manual para recuperarse. La versión 1.2.11 soluciona el problema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:chatterbot:chatterbot:*:*:*:*:*:*:*:* | 1.2.11 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/gunthercox/ChatterBot/commit/de89fe648139f8eeacc998ad4524fab291a378cf
- https://github.com/gunthercox/ChatterBot/pull/2432
- https://github.com/gunthercox/ChatterBot/releases/tag/1.2.11
- https://github.com/gunthercox/ChatterBot/security/advisories/GHSA-v4w8-49pv-mf72
- https://github.com/user-attachments/assets/4ee845c4-b847-4854-84ec-4b2fb2f7090f