Durante minhas pesquisas de segurança, identifiquei uma vulnerabilidade interessante no ChatGPT relacionada ao processamento de markdown nos links compartilhados.
> Descoberta da Vulnerabilidade
A vulnerabilidade permite a execução de markdown injection através dos links compartilhados do ChatGPT, possibilitando a coleta de IPs dos usuários que acessam esses links.
> Prova de Conceito
Abaixo está a demonstração da vulnerabilidade em ação:
# Exemplo do payload utilizado
markdown_injection = ""
> Impacto
Esta vulnerabilidade poderia permitir:
- Coleta não autorizada de IPs
- Possível tracking de usuários
- Potencial para ataques mais sofisticados
> Timeline
- Descoberta: 25/11/2024
- Reporte para OpenAI: 26/11/2024
- Confirmação: 27/11/2024
- Correção: 28/11/2024
Nota de Responsabilidade
Esta vulnerabilidade foi reportada responsavelmente à equipe de segurança da OpenAI e já foi corrigida. A publicação deste artigo foi autorizada e tem objetivo puramente educacional.