Er zijn beveiligingskwetsbaarheden ontdekt in het populaire open-source kunstmatige intelligentie (AI)-framework Chainlit, waarmee aanvallers gevoelige gegevens kunnen stelen, wat laterale verplaatsing binnen een gevoelige organisatie mogelijk kan maken.
Zafran Security zei dat de ernstige tekortkomingen gezamenlijk worden genoemd Kettinglekkunnen worden misbruikt om API-sleutels uit de cloudomgeving te lekken en gevoelige bestanden te stelen, of server-side request forgery (SSRF)-aanvallen uit te voeren op servers die AI-applicaties hosten.
Chainlit is een raamwerk voor het maken van conversatiechatbots. Volgens statistieken van de Python Software Foundation is het pakket de afgelopen week ruim 220.000 keer gedownload. Het heeft tot nu toe in totaal 7,3 miljoen downloads opgeleverd.
Details van de twee kwetsbaarheden zijn als volgt:
- CVE-2026-22218 (CVSS-score: 7.1) – Een willekeurige kwetsbaarheid voor het lezen van bestanden in de updatestroom “/project/element” waardoor een geverifieerde aanvaller toegang kan krijgen tot de inhoud van elk bestand dat door de service kan worden gelezen in zijn eigen sessie vanwege een gebrek aan validatie van gebruikerscontrollervelden
- CVE-2026-22219 (CVSS-score: 8,3) – Een SSRF-kwetsbaarheid in de updatestroom “/project/element” indien geconfigureerd met de SQLAlchemy datalaag-backend waarmee een aanvaller willekeurige HTTP-verzoeken kan doen aan interne netwerkservices of cloud-metadata-eindpunten vanaf de Chainlit-server en de opgehaalde antwoorden kan opslaan
“De twee Chainlit-kwetsbaarheden kunnen op meerdere manieren worden gecombineerd om gevoelige gegevens te lekken, privileges te escaleren en zich lateraal binnen het systeem te verplaatsen”, aldus Zafran-onderzoekers Gal Zaban en Ido Shani. “Zodra een aanvaller willekeurige leestoegang tot bestanden op de server krijgt, begint de beveiliging van de AI-toepassing snel in te storten. Wat in eerste instantie een ingeperkte fout lijkt, wordt directe toegang tot de meest gevoelige geheimen en interne status van het systeem.”
Een aanvaller kan bijvoorbeeld CVE-2026-22218 gebruiken om ‘/proc/self/environ’ te lezen, waardoor hij waardevolle informatie kan verzamelen, zoals API-sleutels, inloggegevens en interne bestandspaden die kunnen worden gebruikt om dieper in het aangetaste netwerk te graven en zelfs toegang te krijgen tot de broncode van de applicatie. Als alternatief kan het worden gebruikt om databasebestanden te lekken als de installatie SQLAlchemy gebruikt met een SQLite-backend als gegevenslaag.
Na een verantwoorde openbaarmaking op 23 november 2025 werden beide kwetsbaarheden door Chainlit verholpen in versie 2.9.4, uitgebracht op 24 december 2025.
“Nu organisaties snel AI-frameworks en componenten van derden adopteren, worden al lang bestaande soorten softwarekwetsbaarheden rechtstreeks in de AI-infrastructuur ingebed”, aldus Zafran. “Deze raamwerken introduceren nieuwe en vaak slecht begrepen aanvalsoppervlakken, waar bekende kwetsbaarheidsklassen AI-aangedreven systemen rechtstreeks in gevaar kunnen brengen.”
Fout in Microsoft MarkItDown MCP-server
De onthulling komt op het moment dat BlueRock een kwetsbaarheid openbaarde in de MarkItDown Model Context Protocol (MCP)-server van Microsoft, genaamd MCP fURI, die het willekeurig aanroepen van URI-bronnen mogelijk maakt, waardoor organisaties worden blootgesteld aan escalatie van privileges, SSRF en aanvallen op datalekken. De tekortkoming is van invloed op de server wanneer deze wordt uitgevoerd in een Amazon Web Services (AWS) EC2-instantie met behulp van IDMSv1.
“Deze kwetsbaarheid stelt een aanvaller in staat de Markitdown MCP-tool convert_to_markdown uit te voeren om een willekeurige Uniform Resource Identifier (URI) aan te roepen”, aldus BlueRock. “Door het ontbreken van grenzen op de URI heeft elke gebruiker, agent of aanvaller die de tool aanroept toegang tot elke HTTP- of bestandsbron.”
“Wanneer je een URI aan de Markitdown MCP-server verstrekt, kan deze worden gebruikt om de instance-metagegevens van de server op te vragen. Een gebruiker kan vervolgens inloggegevens voor de instance verkrijgen als er een rol aan is gekoppeld, waardoor je toegang krijgt tot het AWS-account, inclusief de toegangs- en geheime sleutels.”
Het agentische AI-beveiligingsbedrijf zei dat uit de analyse van meer dan 7.000 MCP-servers is gebleken dat meer dan 36,7% daarvan waarschijnlijk is blootgesteld aan soortgelijke SSRF-kwetsbaarheden. Om het risico dat dit probleem met zich meebrengt te beperken, wordt geadviseerd IMDSv2 te gebruiken ter beveiliging tegen SSRF-aanvallen, privé-IP-blokkering te implementeren, de toegang tot metadataservices te beperken en een toelatingslijst te maken om gegevensexfiltratie te voorkomen.
