CVE-2026-7846 in Langchain-Chatchat
Tóm tắt
Bởi VulDB • 22/05/2026
Đã phát hiện một lỗ hổng trong chatchat-space Langchain-Chatchat phiên bản 0.3.1.3 trở về trước. Lỗ hổng này ảnh hưởng đến hàm xử lý tệp trong file libs/chatchat-server/chatchat/server/api_server/openai_routes.py của thành phần OpenAI-Compatible File Upload API. Việc thao túng đối số file.filename dẫn đến lỗi thời gian kiểm tra và thời gian sử dụng (time-of-check time-of-use). Để cuộc tấn công thành công, cần có quyền truy cập vào mạng nội bộ. Cuộc tấn công này có độ phức tạp cao và khả năng khai thác được đánh giá là khó khăn. Lỗ hổng đã được công bố công khai và có thể bị lợi dụng. Dự án đã được thông báo về vấn đề này sớm thông qua báo cáo sự cố nhưng chưa phản hồi.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.