chatchat-space Langchain-Chatchat حتى 0.3.1.3 OpenAI-Compatible File Upload API openai_routes.py files file.filename حالة سباق
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 2.4 | $0-$5k | 0.71 |
الملخص
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في chatchat-space Langchain-Chatchat حتى 0.3.1.3. تتأثر الوظيفة files من الملف libs/chatchat-server/chatchat/server/api_server/openai_routes.py من المكون OpenAI-Compatible File Upload API. ينتج عن التلاعب بالمعامل file.filename حدوث حالة سباق.
يتم تداول هذه الثغرة تحت اسم CVE-2026-7846. إذا كانت القيمة A، فيجب تنفيذ الهجوم من داخل الشبكة المحلية. بالإضافة إلى ذلك، يتوفر استغلال.
التفاصيل
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في chatchat-space Langchain-Chatchat حتى 0.3.1.3. تتأثر الوظيفة files من الملف libs/chatchat-server/chatchat/server/api_server/openai_routes.py من المكون OpenAI-Compatible File Upload API. ينتج عن التلاعب بالمعامل file.filename حدوث حالة سباق. عند استخدام CWE لتحديد المشكلة، سيتم التوجيه إلى CWE-367. المشكلة تم نشرها بتاريخ كـ 5463. الاستشارة متوفرة هنا github.com.
يتم تداول هذه الثغرة تحت اسم CVE-2026-7846. إذا كانت القيمة A، فيجب تنفيذ الهجوم من داخل الشبكة المحلية. تتوفر معلومات تقنية. الهجوم هذا كان معقد للغاية. الثغرة الأمنية هذه صعبة الاستغلال. معدل انتشار هذه الثغرة أقل من المعدل العام. بالإضافة إلى ذلك، يتوفر استغلال. تم الكشف عن الاستغلال للعامة وقد يتم استخدامه.
إذا تم تحديد إثبات المفهوم، فإنه يُعلن كـ إثبات المفهوم. الاستغلال متاح للتنزيل عبر github.com.
منتج
النوع
المجهز
الأسم
النسخة
موقع إلكتروني
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔒VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 2.6VulDB الدرجة المؤقتة للميتا: 2.4
VulDB الدرجة الأساسية: 2.6
VulDB الدرجة المؤقتة: 2.4
VulDB متجه: 🔒
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔒
VulDB الدرجة المؤقتة: 🔒
VulDB الاعتمادية: 🔍
استغلال
الفئة: حالة سباقCWE: CWE-367 / CWE-362
CAPEC: 🔒
ATT&CK: 🔒
ملموس: لا
محلي: لا
عن بُعد: جزئي
التوفر: 🔒
وصول: عام
الحالة: إثبات المفهوم
تحميل: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
تقدير السعر: 🔍
تقدير السعر الحالي: 🔒
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔒
الجدول الزمني
05/05/2026 تم نشر الاستشارة05/05/2026 تم إنشاء إدخال VulDB
05/05/2026 آخر تحديث في VulDB
المصادر
منتج: github.comاستشارة: 5463
الحالة: غير معرفة
CVE: CVE-2026-7846 (🔒)
GCVE (CVE): GCVE-0-2026-7846
GCVE (VulDB): GCVE-100-361125
scip Labs: https://www.scip.ch/en/?labs.20161013
إدخال
تم الإنشاء: 05/05/2026 12:26 PMالتغييرات: 05/05/2026 12:26 PM (60)
كامل: 🔍
المقدم: Dem00
Cache ID: 216::103
إرسال
تمت الموافقة
- إرسال #807795: chatchat-space Langchain-Chatchat 0.3.1.3 TOCTOU Race Condition / CWE-367 (بحسب Dem00)
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق