Se ha descubierto una vulnerabilidad de seguridad en el popular marco de inteligencia artificial (IA) de código abierto Chainlit. Esta vulnerabilidad podría permitir a un atacante robar datos confidenciales y potencialmente permitir el movimiento lateral dentro de una organización susceptible.
Zafran Security dijo que las fallas de alta gravedad, denominadas colectivamente ChainLeak, podrían explotarse para filtrar claves API en entornos de nube para robar archivos confidenciales o realizar ataques de falsificación de solicitudes del lado del servidor (SSRF) contra servidores que alojan aplicaciones de inteligencia artificial.
Chainlit es un marco para crear chatbots conversacionales. Según las estadísticas compartidas por la Python Software Foundation, este paquete se descargó más de 220.000 veces la semana pasada. Hasta la fecha, ha registrado un total de 7,3 millones de descargas.
Los detalles de las dos vulnerabilidades son los siguientes:
CVE-2026-22218 (puntuación CVSS: 7,1): vulnerabilidad de lectura de archivos arbitraria en el flujo de actualización «/project/element». Esto permite que un atacante autenticado ingrese a su sesión accediendo al contenido de cualquier archivo legible por el servicio debido a una falta de validación del campo del controlador de usuario. CVE-2026-22219 (Puntuación CVSS: 8.3): vulnerabilidad SSRF en SQLAlchemy cuando se configura en el backend de la capa de datos, el flujo de actualización «/project/element» permite a los atacantes realizar solicitudes HTTP arbitrarias desde un servidor Chainlit a un servicio de red interno o un punto final de metadatos en la nube y almacenar las respuestas recuperadas.
«Dos vulnerabilidades en Chainlit se pueden combinar de varias maneras para filtrar datos confidenciales, aumentar privilegios y permitir el movimiento lateral dentro del sistema», dijeron los investigadores de Zafran Gal Zaban e Ido Shani. «Una vez que un atacante obtiene acceso de lectura de archivos arbitrario en un servidor, la seguridad de una aplicación de IA comienza a desmoronarse rápidamente. Lo que inicialmente parece ser una falla contenida ahora proporciona acceso directo a los secretos más sensibles y al estado interno del sistema».
Por ejemplo, un atacante armado con CVE-2026-22218 podría leer «/proc/self/environ» y recopilar información valiosa, como claves API, credenciales y rutas de archivos internos, que podría usarse para penetrar profundamente en una red comprometida o acceder al código fuente de la aplicación. Alternativamente, si su configuración utiliza servidores SQLAlchemy y SQLite como capas de datos, puede usarse para filtrar archivos de bases de datos.
Después de la divulgación responsable el 23 de noviembre de 2025, Chainlit abordó ambas vulnerabilidades en la versión 2.9.4 lanzada el 24 de diciembre de 2025.
«A medida que las organizaciones implementan rápidamente marcos de IA y componentes de terceros, las vulnerabilidades de software de larga data se están integrando directamente en la infraestructura de IA», dijo Zafran. «Estos marcos introducen nuevas superficies de ataque que no se comprenden bien, y clases de vulnerabilidad bien conocidas pueden comprometer directamente los sistemas impulsados por IA».
Defecto del servidor Microsoft MarkItDown MCP
Esta divulgación se produce después de que BlueRock revelara una vulnerabilidad en el servidor MarkItDown Model Context Protocol (MCP) de Microsoft llamada «MCP fURI». Esta vulnerabilidad permite llamadas arbitrarias a recursos URI, exponiendo a las organizaciones a ataques de escalada de privilegios, SSRF y fuga de datos. Este inconveniente afecta a los servidores que se ejecutan en instancias EC2 de Amazon Web Services (AWS) que utilizan IDMSv1.
«Esta vulnerabilidad permite a un atacante ejecutar la herramienta Markitdown MCP convert_to_markdown para llamar identificadores uniformes de recursos (URI) arbitrarios», dijo BlueRock. «Debido a que los URI no tienen límites, un usuario, agente o atacante que invoque la herramienta puede acceder a cualquier recurso HTTP o de archivo».
«Si proporciona un URI a su servidor Markitdown MCP, puede usarlo para consultar los metadatos de la instancia del servidor. Si se asocia un rol, el usuario puede recuperar las credenciales de la instancia, dándoles acceso a su cuenta de AWS, incluida la clave de acceso y la clave secreta».
La firma de seguridad Agentic AI dijo que analizó más de 7.000 servidores MCP y descubrió que más del 36,7% de ellos pueden estar expuestos a vulnerabilidades SSRF similares. Para reducir el riesgo que plantea este problema, recomendamos utilizar IMDSv2 para protegerse contra ataques SSRF, implementar bloqueo de IP privada, restringir el acceso a servicios de metadatos y crear listas blancas para evitar la fuga de datos.
Source link
