Vulnerabilidades críticas foram descobertas no Chainlit, um popular framework open-source de inteligência artificial (IA), que podem permitir a hackers roubar dados sensíveis e realizar movimentos laterais em organizações comprometidas.
A empresa Zafran Security identificou falhas de alta severidade, batizadas coletivamente como ChainLeak, que possibilitam o vazamento de chaves de API de ambientes em nuvem e o roubo de arquivos confidenciais.
Além disso, as vulnerabilidades permitem ataques do tipo Server-Side Request Forgery (SSRF) em servidores que hospedam aplicações de IA construídas com o framework.
Chainlit é uma plataforma utilizada para criar chatbots conversacionais.
Segundo dados da Python Software Foundation, o pacote foi baixado mais de 220 mil vezes na última semana, totalizando 7,3 milhões de downloads desde seu lançamento.
As duas vulnerabilidades detalhadas são:
-
CVE-2026-22218
(nota CVSS: 7,1): falha de leitura arbitrária de arquivos na rota "/project/element" que permite a um atacante autenticado acessar o conteúdo de qualquer arquivo legível pelo serviço, devido à ausência de validação em campos controlados pelo usuário.
-
CVE-2026-22219
(nota CVSS: 8,3): vulnerabilidade SSRF também na rota "/project/element", quando configurado com o backend SQLAlchemy, que possibilita a invasores realizarem requisições HTTP arbitrárias a serviços internos da rede ou endpoints de metadados em nuvem a partir do servidor Chainlit, armazenando as respostas obtidas.
Pesquisadores da Zafran, Gal Zaban e Ido Shani, explicam que essas falhas podem ser exploradas em conjunto para vazar dados sensíveis, obter elevação de privilégios e executar movimentos laterais nos sistemas afetados.
“Quando o invasor conquista acesso à leitura arbitrária de arquivos, a segurança da aplicação de IA se deteriora rapidamente.
Uma falha que parecia isolada passa a representar acesso direto aos segredos mais sensíveis e ao estado interno do sistema”, alertam.
Por exemplo, explorando a
CVE-2026-22218
, um atacante pode ler o arquivo “/proc/self/environ”, onde encontra informações valiosas como chaves de API, credenciais e caminhos internos de arquivos que facilitam uma invasão mais profunda na rede.
Também é possível vazar arquivos do banco de dados caso a aplicação utilize SQLAlchemy com SQLite como backend.
Após o processo de divulgação responsável iniciado em 23 de novembro de 2025, o Chainlit lançou a versão 2.9.4 em 24 de dezembro de 2025, corrigindo as vulnerabilidades.
A Zafran destaca que, com a rápida adoção de frameworks de IA e de componentes de terceiros, antigas classes de vulnerabilidades de software estão sendo incorporadas diretamente à infraestrutura de IA.
“Essas plataformas introduzem novas superfícies de ataque, muitas vezes pouco compreendidas, onde falhas conhecidas podem comprometer sistemas inteligentes”, afirma a empresa.
Falha no servidor Microsoft MarkItDown MCP
Em outra divulgação recente, a empresa BlueRock revelou uma vulnerabilidade no servidor Microsoft MarkItDown Model Context Protocol (MCP), chamada MCP fURI.
Essa falha permite chamadas arbitrárias a recursos URI, expondo organizações a ataques de escalonamento de privilégios, SSRF e vazamento de dados.
O problema afeta o servidor quando opera em instâncias EC2 da Amazon Web Services (AWS) utilizando o IMDSv1.
Segundo a BlueRock, “essa vulnerabilidade permite que um atacante execute a ferramenta convert_to_markdown do MarkItDown MCP para chamar qualquer URI, sem restrições”.
Isso significa que o invasor pode acessar recursos HTTP ou arquivos arbitrários.
Ao fornecer um URI malicioso, é possível consultar os metadados da instância do servidor e obter credenciais associadas a um papel (role), incluindo as chaves de acesso e secretas da AWS, comprometendo toda a conta.
A análise da empresa sobre mais de 7 mil servidores MCP indicou que cerca de 36,7% deles estão potencialmente expostos a vulnerabilidades SSRF similares.
Para mitigação dos riscos, recomenda-se o uso do IMDSv2, bloqueio de IPs privados, restrição do acesso a serviços de metadados e criação de listas de permissão para prevenir a exfiltração de dados.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...