anchore_overrides,nvd
Librechat
Уязвимости
42
Эксплуатируемые
0
Критический
6
Высокий
17
Топ продуктов
Топ уязвимостей
CVE-2026-22252LibreChat - это клон ChatGPT с дополнительными функциями. До v0.8.2-rc2 стиропрокатный MCP-транспорт LibreChat принимает произвольные команды без проверки, что позволяет любому аутентифицированному пользователю выполнять команды оболочки в качестве корня внутри контейнера через один запрос API. Эта уязвимость зафиксирована в v0.8.2-rc2.
CVE-2024-41704LibreChat через 0.7.4-rc1 не проверяет нормализованные имена образов.
CVE-2024-41703LibreChat до версии 0.7.4-rc1 имеет неправильный контроль доступа для обновления сообщений.
CVE-2026-32625LibreChat - это улучшенный клон ChatGPT, который поддерживает несколько поставщиков ИИ. В версиях до 0.8.3, интеграция сервера Model Context Protocol (MCP) включительно разрешает ${VAR} заполнители в отношении процесса сервера env во время проверки схемы Zod-серверных URL-серверов, поставляемых пользователем. Любой аутентифицированный пользователь может создать вредоносную конфигурацию MCP-сервера с URL-адресом, указывающего на управляемый злоубойком домен, содержащий переменные ссылки среды, в результате чего сервер LibreChat подключается к серверу злоумышленника и передает критические секреты, такие как CREDS_KEY, CREDS_IV, JWT_SECRET и MONGO_URI в URL запроса. Это позволяет полностью скомпрометировать криптографические материалы установки и учетные данные базы данных, не требуя административных привилегий. Это исправлено в версии 0.8.4-rc1.
CVE-2024-10361Существует уязвимость произвольного удаления файлов в версии danny-avila/librechat v0.7.5-rc2, конкретно в конечной точке /api/files. Эта уязвимость возникает из-за неправильной проверки входных данных, что позволяет методы обхода путей для удаления произвольных файлов на сервере. Злоумышленники могут использовать это для обхода механизмов безопасности и удаления файлов вне предназначенной директории, включая критически важные системные файлы, пользовательские данные или ресурсы приложения. Эта уязвимость влияет на целостность и доступность системы.
CVE-2026-33265В LibreChat 0.8.1-rc2 зарегистрированный пользователь получает JWT как для API LibreChat, так и для RAG API.
CVE-2025-8850Потеря целостности в LibreChat
CVE-2024-11170Уязвимость в danny-avila/librechat версии git 81f2936 позволяет выполнение перехода по пути из-за неправильной санитарной обработки путей файлов в промежуточном ПО multer. Это может привести к произвольной записи файлов и потенциально удаленному выполнению кода. Проблема исправлена в версии 0.7.6.
CVE-2025-66450LibreChat - это клон ChatGPT с дополнительными функциями. В версиях 0.8.0 и ниже, когда пользователь публикует вопрос, параметр iconURL запроса POST может быть изменен злоумышленником. Затем вредоносный код сохраняется в чате, который затем может быть передан другим пользователям. При обмене чатами с потенциально вредоносным «трекером» загруженные ресурсы могут привести к потере конфиденциальности для пользователей, которые просматривают отправленную им ссылку чата. Эта проблема исправлена в версии 0.8.1.
CVE-2025-66201LibreChat - это клон ChatGPT с дополнительными функциями. До версии 0.8.1-rc2 LibreChat уязвим для подделки запросов на стороне сервера (SSRF), передавая специально созданные спецификации OpenAPI своей функции «Действия» и заставляя LLM использовать эти действия. Он может быть использован аутентифицированным пользователем с доступом к этой функции для доступа к URL-адресам, доступным только серверу LibreChat (например, облачные метаданные, через которые может быть возможным олицетворение сервера). Эта проблема была исправлена в версии 0.8.1-rc2.
CVE-2026-31943LibreChat - это клон ChatGPT с дополнительными функциями. До версии 0.8.3 `isPrivateIP()` в `paject/api/src/auth/domain.ts` не может обнаружить IPv4-картированные IPv6 адреса в своей шестинормированной форме, что позволяет любому аутентифицированному пользователю обойти защиту SSRF и заставить сервер выдавать HTTP-запросы на внутренние ресурсы сети, включая облачные метаданные (например, AWS `169. Версия 0.8.3 устраняет проблему.
CVE-2025-69222LibreChat - это клон ChatGPT с дополнительными функциями. Версия 0.8.1-rc2 склонна к подделке запроса на стороне сервера (SSRF)
уязвимость из-за отсутствующих ограничений функции Действия в конфигурации по умолчанию. LibreChat позволяет пользователям настраивать агентов с предопределенными инструкциями и действиями, которые могут взаимодействовать с удаленными службами через спецификации OpenAPI, поддерживая различные методы HTTP, параметры и методы аутентификации, включая пользовательские заголовки. По умолчанию нет ограничений на доступные услуги, что означает, что агенты также могут получить доступ к внутренним компонентам, таким как RAG API, включенный в настройку Docker Compose по умолчанию. Эта проблема исправлена в версии 0.8.1-rc2.
CVE-2025-41258LibreChat версии 0.8.1-rc2 использует тот же секрет JWT для механизма сеанса пользователя и RAG API, который компрометирует аутентификацию RAG API на уровне обслуживания.
CVE-2026-31945LibreChat - это клон ChatGPT с дополнительными функциями. Версии 0.8.2-rc2-0.8.2 уязвимы для атаки подделки запроса на сервере (SSRF) при использовании действий агента или MCP. Хотя была зарегистрирована и исправлена предыдущая уязвимость SSRF (https://github.com/danny-avila/LibreChat/security/advisories/GHSA-rgjq-4q58-m3q8), исправление только ввело проверку имени хоста. Он не проверяет, приводит ли разрешение DNS к частному IP-адресу. В результате злоумышленник все еще может обойти защиту и получить доступ к внутренним ресурсам, таким как внутренний RAG API или конечные точки метаданных экземпляра облака. Версия 0.8.3-rc1 содержит патч.
CVE-2026-31944Получение конфиденциальной информации в LibreChat
CVE-2026-4276Потеря целостности в LibreChat
CVE-2025-8849LibreChat версии 0.7.9 уязвима для атаки отказа в обслуживании (DoS) из-за неограниченного значения параметров в конечной точке `/api/memories`. Параметры «ключ» и «значимость» принимают произвольно большие входы без надлежащей проверки, что приводит к ошибке нулевых указателей в бэкэнде на основе Rust при представлении чрезмерно больших значений. Это приводит к невозможности создавать новые воспоминания, влияя на стабильность сервиса.
CVE-2025-7104Уязвимость массового назначения существует в danny-avila/librechat, затрагивающая все версии. Эта уязвимость позволяет злоумышленникам манипулировать чувствительными полями, автоматически привязывая данные, предоставляемые пользователем, к внутренним свойствам объектов или полям базы данных без надлежащей фильтрации. В результате любые дополнительные поля в органе запроса включаются в данные агента и передаются в слой базы данных, что позволяет перезаписать любое поле в схеме, например, автор, access_level, isCollaborative и projectIds. Дополнительно, Object.Prototype может быть загрязнен из-за использования Object.assign с операторами спред-операторами.
CVE-2025-54868LibreChat - это клон ChatGPT с дополнительными функциями. В версиях от 0.0.6 до 0.7.7-rc1 имеется уязвимость, связанная с раскрытием тестовой конечной точки, позволяющей читать произвольные чаты напрямую из поискового движка Meilisearch. Конечная точка /api/search/test позволяет получить прямой доступ к хранящимся чатам в Meilisearch без надлежащего контроля доступа, что позволяет читать чаты произвольных пользователей [1]. Эта уязвимость была устранена в версии 0.7.7. Для эксплуатации уязвимости атакующий может отправить GET-запрос к /api/search/test?q=secret, что позволит получить доступ к чатам, содержащим искомое значение "secret" [2].
Источники:
- [1] https://github.com/danny-avila/LibreChat/security/advisories/GHSA-p5j8-m4wh-ffmw
- [2] https://github.com/danny-avila/LibreChat/commit/0e8041bcac616949c42a68dfb8f108ccc4db5151
CVE-2024-11172Уязвимость в danny-avila/librechat версии git a1647d7 позволяет неаутентифицированному злоумышленнику вызвать отказ в обслуживании, отправив специально подготовленный пакет на сервер. Промежуточное ПО `checkBan` не окружено блоком try-catch, и необработанное исключение вызовет сбой сервера. Эта проблема исправлена в версии 0.7.6.
CVE-2024-11171В версии danny-avila/librechat git 0c2a583 есть уязвимость неправильной валидации входных данных. Приложение использует промежуточное программное обеспечение multer для работы с многокомпонентными загрузками файлов. При использовании внутреннего хранилища (по умолчанию для multer) нет предела на размер загружаемого файла. Это может привести к сбою сервера из-за ошибок недостатка памяти при обработке больших файлов. Атакующий без каких-либо привилегий может использовать эту уязвимость, чтобы вызвать полный отказ в обслуживании. Проблема исправлена в версии 0.7.6.
CVE-2024-11169Неконтролируемое исключение в danny-avila/librechat версии 3c94ff2 может привести к сбою сервера. Проблема возникает, когда модуль fs вызывает исключение при обработке загрузки файлов. Неавторизованный пользователь может вызвать это исключение, отправив специально подготовленный запрос, что приведет к сбою сервера. Уязвимость исправлена в версии 0.7.6.
CVE-2026-31942LibreChat - это улучшенный клон ChatGPT, который поддерживает несколько поставщиков ИИ. В версиях до 0.7.6 включающей уязвимость Direct Object Reference (IDOR) существует в конечной точке управления ключами API (PUT /api/keys). Из-за использования оператора распространения объекта JavaScript после установки идентификатора аутентифицированного пользователя любой аутентифицированный пользователь может ввести параметр userId в орган запроса для перезаписи любых ключей API другого пользователя (например, OpenAI, Anthropic, Azure). Это позволяет злоумышленнику заменить конфигурацию ключа API жертвы, потенциально направив разговоры жертвы через контролируемые злоумышленником ключи или отказав в обслуживании, предоставляя недействительные ключи. Это исправлено в версии 0.8.3-rc1.
CVE-2026-44653LibreChat - это улучшенный клон ChatGPT, который поддерживает несколько поставщиков ИИ. В версиях до 0.8.3 включительно пользователи, имеющие только `VIEW` доступ к серверу MCP, могут получить расшифрованные секреты админ-управляемого сервера через `GET /pi/mcp/servers` и `GET /api/mcp/servers/servers/serverName`. Вернувшаяся конфигурация включает в себя простые значения для `piKey.key` и `oauth.client_secret`. Это позволяет зрителям общего MCP-сервера эксфильтровать базовые учетные данные провайдера. Версия 0.8..4 содержит патч. Другие исправления включают в себя: никогда не возвращать расшифрованные секреты, управляемые администраторами, не владельцам; редактирование apiKey.key и oauth.client_secret из всех ответов API рассматривает возможность возврата только показателей булевого присутствия для секретов, аналогичных шаблону маршрута аут-значений; и, если владельцам необходимо редактировать конфигурации без повторного ввода секретов, сохранения секретов сервера и возвращения.
CVE-2026-31949LibreChat - это клон ChatGPT с дополнительными функциями. До 0.8.3-rc1 в конечной точке DELETE /api/convos существует уязвимость Denial of Service (DoS), которая позволяет аутентифицированному злоумышленнику сломать процесс сервера Node.js, отправив удаленные запросы. Обработчик маршрута DELETE /api/convos пытается деструктурировать req.body.arg, не подтверждая, что он существует. Сервер выходит из строя из-за безработного TypeError, который обходит промежуточного программного обеспечения Express error, обрабатывает промежуточный программ и запускает process.exit(1). Эта уязвимость зафиксирована в 0.8.3-rc1.