← Alertas
Vulnerabilidad Medio En monitoreo

Una falla en el chat de RD Station Conversas permite ejecutar código malicioso en el navegador de los agentes de soporte

Se identificó una vulnerabilidad de severidad media en Tallos Chat, la herramienta de atención al cliente de RD Station Conversas, que permite inyectar código malicioso a través del campo de nombre al iniciar una conversación. El código se ejecuta también en el navegador del agente de soporte que atienda el chat, lo que amplía el riesgo. Aún no existe una corrección disponible. Las empresas que usan esta herramienta deben dar seguimiento al aviso del proveedor.

2026-07-13 · INCIBE-CERT

Qué ocurrió

Se dio a conocer una vulnerabilidad de severidad media en Tallos Chat, la herramienta de atención al cliente y ventas por chat de RD Station Conversas, una plataforma de origen brasileño usada por empresas en América Latina. La falla está en el campo de nombre que se llena al iniciar una conversación: si no se filtra correctamente, permite insertar código que se ejecuta en el navegador de quien ve esa conversación. Esto incluye al agente de soporte que la atiende, no solo a quien la originó. Por el momento, el proveedor no ha publicado una corrección.

Quién está expuesto

Empresas que usan Tallos Chat de RD Station Conversas para atención al cliente o ventas, y en particular sus agentes de soporte, quienes quedan expuestos al abrir cualquier conversación entrante.

Impacto potencial

Si se explota, un atacante puede ejecutar código en el navegador del agente de soporte, lo que podría usarse para robar la sesión activa de la herramienta o realizar acciones dentro de ella en su nombre, como si fuera el propio agente.

Leer fuente original →