CVE-2026-31942 in LibreChatinfo

Zusammenfassung

von VulDB • 03.06.2026

LibreChat ist ein erweitertes ChatGPT-Klon, das mehrere KI-Anbieter unterstützt. In Versionen bis einschließlich 0.7.6 besteht eine Insecure Direct Object Reference (IDOR)-Schwachstelle im Endpunkt zur Verwaltung von API-Schlüsseln (PUT /api/keys). Durch die Verwendung des JavaScript-Objekt-Spread-Operators nach dem Festlegen der ID des authentifizierten Benutzers kann jeder authentifizierte Benutzer einen userId-Parameter im Anforderungstext injizieren, um die API-Schlüssel eines anderen Benutzers zu überschreiben (z. B. OpenAI, Anthropic, Azure). Dies ermöglicht es einem Angreifer, die API-Schlüsselkonfiguration eines Opfers zu ersetzen, wodurch die Unterhaltungen des Opfers möglicherweise über von einem Angreifer kontrollierte Schlüssel geleitet oder der Dienst durch die Bereitstellung ungültiger Schlüssel verweigert werden kann. Dies wurde in Version 0.8.3-rc1 gepatcht.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

10.03.2026

Veröffentlichung

03.06.2026

Moderieren

akzeptiert

Eintrag

VDB-368037

CPE

bereit

EPSS

0.00036

KEV

nein

Aktivitäten

low

Sektor

Chemical, Hostingprovider, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-31942
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-31942
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-31942/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!