Bugs em plug-ins ChatGPT abrem brecha para o controle de contas

A terceira vulnerabilidade também estava relacionada ao OAuth e afetou vários plug-ins, mas a Salt demonstrou suas descobertas em um plug-in chamado Charts by Kesem AI. Um invasor que conseguisse enganar um usuário para que ele clicasse em um link especialmente criado poderia ter assumido o controle da conta da vítima associada ao plug-in.

As vulnerabilidades foram relatadas à OpenAI, PluginLab.AI e Kesem AI logo após serem descobertas no verão de 2023 e os fornecedores lançarem patches em algum momento nos meses seguintes.

A Salt Security disse que também encontrou vulnerabilidades em outros GPTs e planeja detalhá-las em uma próxima postagem no blog. 

Para ter acesso à análise das vulnerabilidades identificadas pela Salta Security (em inglês) clique aqui.

Créditos: CISO Advisor