CVE-2026-7177

Descripción de la Vulnerabilidad

CVE-2026-7177 es un fallo de seguridad reportado en el proyecto ChatGPTNextWeb NextChat, que afecta a versiones hasta 2.16.1. La vulnerabilidad está relacionada con la función proxyHandler del archivo app/api/[provider]/[...path]/route.ts. Este problema permite el robo de solicitudes en el servidor (SSRF), lo que podría ser explotado desde una red externa. Según el informe, el exploit ya fue liberado al público y puede utilizarse para ataques.

Sistemas Afectados

La vulnerabilidad afecta a la aplicación ChatGPTNextWeb NextChat en versiones anteriores a 2.16.1. El componente vulnerable es el módulo de manejo de proxies en la ruta /api/[provider]/[...path], específicamente en el archivo route.ts.

Impacto y Exploitabilidad

El impacto de la vulnerabilidad es alto debido a su puntuación CVSS de 7.3 (HIGH). El ataque puede realizarse desde una red externa, lo que permite a un atacante realizar solicitudes no autorizadas al servidor. La explotación no requiere interacción directa del usuario, lo que aumenta el riesgo de uso malicioso.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles.

Mitigación y Parches

El proyecto ChatGPTNextWeb NextChat fue informado sobre el problema desde hace tiempo, pero no ha proporcionado una respuesta oficial. Se recomienda a los usuarios verificar si existen parches de seguridad disponibles en las actualizaciones oficiales o contactar directamente al desarrollador para solicitudes de corrección. Hasta ahora, no se han publicado detalles específicos sobre la resolución del problema.