CVE-2026-31942 in LibreChatالمعلومات

الملخص

بحسب VulDB • 03/06/2026

LibreChat هو نسخة محسّنة من ChatGPT تدعم مزودي ذكاء اصطناعي متعددين. في الإصدارات حتى 0.7.6 وشاملةً لها، توجد ثغرة في المرجع المباشر غير الآمن للعناصر (IDOR) في نقطة نهاية إدارة مفاتيح API (PUT /api/keys). ونظراً لاستخدام عامل نشر كائن JavaScript بعد تعيين معرف المستخدم المصادق عليه، يمكن لأي مستخدم مصادق عليه حقن معلمة userId في جسم الطلب لكتابة مفاتيح API الخاصة بأي مستخدم آخر (مثل OpenAI، Anthropic، Azure) فوقها. يتيح ذلك للمهاجم استبدال تكوين مفتاح API لضحية، مما قد يؤدي إلى توجيه محادثات الضحية عبر مفاتيح يتحكم فيها المهاجم أو حرمان الخدمة عن طريق توفير مفاتيح غير صالحة. تم إصلاح هذه الثغرة في الإصدار 0.8.3-rc1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

10/03/2026

إفشاء

03/06/2026

الاعتدال

تمت الموافقة

إدخال

VDB-368037

CPE

جاهز

CWE

CWE-862 (مؤكد)

CVSS

7.1 (CNA)

EPSS

0.00036

KEV

لا

النشاطات

منخفض جدًا

القطاع

Police, Hostingprovider, ...

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-31942
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-31942
CVE Details	https://www.cvedetails.com/cve/CVE-2026-31942/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!