CVE-2025-50733

Nome do Software Vulnerável e Versões Afetadas: NextChat (versões afetadas não especificadas)

Descrição: O NextChat contém uma vulnerabilidade de cross-site scripting (XSS) no componente HTMLPreview do artifacts.tsx. Isso permite que atacantes executem código JavaScript arbitrário quando o conteúdo HTML é renderizado na interface de chat da IA. A vulnerabilidade ocorre porque HTML influenciado pelo usuário, proveniente de respostas da IA, é renderizado em um iframe com a permissão de sandbox 'allow-scripts' sem a devida sanitização. Atacantes podem explorar isso por meio de prompts elaborados que fazem a IA gerar código HTML/JavaScript malicioso. Quando um usuário visualiza a pré-visualização em HTML, o JavaScript injetado é executado no contexto do navegador do usuário, potencialmente permitindo que atacantes exfiltrem informações sensíveis (incluindo chaves de API armazenadas no localStorage), realizem ações em nome do usuário e roubem dados de sessão.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.