CVE-2025-59417

Nome do Software Vulnerável e Versões Afetadas Versões do Lobe Chat anteriores à 1.129.4

Descrição O Lobe Chat, um framework de chat de inteligência artificial de código aberto, contém uma vulnerabilidade de cross-site scripting (XSS) na maneira como lida com mensagens de chat. Especificamente, quando uma resposta do servidor inclui um lobeArtifact do tipo image/svg+xml, a aplicação o renderiza usando dangerouslySetInnerHTML, o que pode levar a ataques XSS. Partes capazes de injetar conteúdo nas mensagens de chat – incluindo páginas maliciosas, servidores MCP comprometidos ou integrações de ferramentas – podem explorar essa vulnerabilidade. Isso pode potencialmente escalar para execução remota de código na máquina do usuário.

Recomendações Atualize o Lobe Chat para a versão 1.129.4 ou posterior.