Se han descubierto vulnerabilidades en el popular marco de inteligencia artificial (IA) de código abierto Chainlit que podría permitir a los atacantes robar datos confidenciales, lo que podría permitir el movimiento lateral dentro de una organización vulnerable.
Zafran Security dijo que se trataba de deficiencias graves, denominadas colectivamente “errores”. Fuga de cadenaSe podría abusar de ellas para revelar claves API del entorno de la nube y robar archivos confidenciales o realizar ataques de falsificación de solicitudes del lado del servidor (SSRF) contra servidores que alojan aplicaciones de IA.
Chainlit es un marco para crear chatbots conversacionales. Según estadísticas de la Python Software Foundation, el paquete se descargó más de 220.000 veces la semana pasada. Hasta el momento se han registrado un total de 7,3 millones de descargas.
Los detalles de las dos vulnerabilidades son los siguientes:
- CVE-2026-22218 (Puntuación CVSS: 7.1): una vulnerabilidad de lectura de archivos arbitraria en el flujo de actualización /project/element que permite a un atacante autenticado acceder al contenido de cualquier archivo legible por el servicio en su propia sesión debido a una falta de validación de los campos del controlador de usuario.
- CVE-2026-22219 (Puntuación CVSS: 8.3): una vulnerabilidad SSRF en el flujo de actualización /project/element cuando se configura con el backend de la capa de datos SQLAlchemy, que permite a un atacante realizar solicitudes HTTP arbitrarias desde el servidor Chainlit a servicios de red internos o puntos finales de metadatos en la nube y almacenar las respuestas recuperadas.
“Las dos vulnerabilidades de Chainlit se pueden combinar de varias maneras para exponer datos confidenciales, aumentar privilegios y moverse lateralmente dentro del sistema”, dijeron los investigadores de Zafran Gal Zaban e Ido Shani. “Una vez que un atacante obtiene acceso de lectura arbitrario a los archivos en el servidor, la seguridad de la aplicación de IA rápidamente comienza a fallar. Lo que inicialmente parece ser una vulnerabilidad contenida se convierte en acceso directo a los secretos más sensibles y al estado interno del sistema”.
Por ejemplo, un atacante podría utilizar CVE-2026-22218 como arma para leer /proc/self/environ y obtener información valiosa como claves API, credenciales y rutas de archivos internos que podrían permitirle penetrar más profundamente en la red comprometida e incluso obtener acceso al código fuente de la aplicación. Alternativamente, se puede usar para filtrar archivos de bases de datos si la configuración usa SQLAlchemy con un backend SQLite como capa de datos.
Después de la divulgación responsable el 23 de noviembre de 2025, ambas vulnerabilidades de Chainlit se solucionaron en la versión 2.9.4 lanzada el 24 de diciembre de 2025.
“A medida que las empresas adoptan rápidamente marcos de IA y componentes de terceros, clases de vulnerabilidades de software de larga data se están integrando directamente en la infraestructura de IA”, dijo Zafran. “Estos marcos introducen superficies de ataque nuevas y, a menudo, poco comprendidas, donde las clases de vulnerabilidad conocidas pueden comprometer directamente los sistemas impulsados por IA”.
Error en el servidor MCP de Microsoft MarkItDown
La divulgación se produjo cuando BlueRock descubrió una vulnerabilidad en el servidor MarkItDown Model Context Protocol (MCP) de Microsoft, llamado MCP fURI, que permite la invocación arbitraria de recursos URI, exponiendo así a las organizaciones a ataques de escalada de privilegios, SSRF y fuga de datos. El defecto afecta al servidor cuando se ejecuta en una instancia EC2 de Amazon Web Services (AWS) con IDMSv1.
“Esta vulnerabilidad permite a un atacante ejecutar la herramienta Markitdown MCP convert_to_markdown para invocar cualquier Identificador uniforme de recursos (URI)”, dijo BlueRock. “La falta de límites en el URI permite que cualquier usuario, agente o atacante que invoque la herramienta acceda a cualquier recurso HTTP o de archivo”.
“Si proporciona un URI al servidor MCP de Markitdown, se puede utilizar para consultar los metadatos de la instancia del servidor. Luego, un usuario puede obtener credenciales para la instancia si se le asigna un rol, lo que le brinda acceso a la cuenta de AWS, incluidas las claves secretas y de acceso”.
La empresa de seguridad de agentes AI dijo que su análisis de más de 7.000 servidores MCP encontró que más del 36,7% de ellos probablemente estaban expuestos a vulnerabilidades SSRF similares. Para mitigar el riesgo que plantea este problema, se recomienda utilizar IMDSv2 para protegerse contra ataques SSRF, implementar bloqueo de direcciones IP privadas, restringir el acceso a servicios de metadatos y crear una lista de permitidos para evitar la filtración de datos.
About The Author
