CRITICAL🇬🇧 English

CVE-2025-45150

Nieprawidłowe uprawnienia w LangChain-ChatGLM-Webui umożliwiają kradzież plików

CVSS 9.8v3.1pub. 2025-08-01upd. 2026-07-05

Podatność w aplikacji LangChain-ChatGLM-Webui (commit ef829) pozwala nieuwierzytelnionym atakującym na dowolne przeglądanie i pobieranie wrażliwych plików. Wysoki wynik CVSS 9.8 wynika z braku wymagań co do uwierzytelnienia i dostępności przez sieć.

Pokaż oryginał (EN)

Insecure permissions in LangChain-ChatGLM-Webui commit ef829 allows attackers to arbitrarily view and download sensitive files via supplying a crafted request.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowo skonfigurowanych uprawnieniach dostępu do zasobów (CWE-732 — Incorrect Permission Assignment for Critical Resource). Atakujący wysyła specjalnie spreparowane żądanie HTTP, które omija mechanizmy kontroli dostępu. W rezultacie możliwe jest odczytanie i pobranie plików, do których dostęp powinien być ograniczony.

Skutki

Atakujący może bez uwierzytelnienia uzyskać dostęp do wrażliwych plików aplikacji, co prowadzi do ujawnienia potencjalnie poufnych danych (np. konfiguracji, kluczy API, danych użytkowników). W połączeniu z pełną triadą CIA (C:H/I:H/A:H) skutki mogą obejmować naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie repozytorium GitHub projektu (https://github.com/X-D-Lab/LangChain-ChatGLM-Webui) w celu uzyskania zaktualizowanej wersji. Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu do aplikacji wyłącznie do zaufanych sieci lub zastosowanie reguł firewall blokujących dostęp z zewnątrz.

Kogo dotyczy

X-D Lab LangChain-ChatGLM-Webui w wersji odpowiadającej commit ef829

Uwagi

Dowód koncepcji (PoC) exploit jest publicznie dostępny w serwisie GitHub Gist pod adresem wskazanym w referencjach, co znacząco podnosi ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • X D Lab Langchain Chatglm Webui

    APP
    X-D Lab
    2023-05-23
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2025-45150 — Nieprawidłowe uprawnienia w LangChain-ChatGLM-Webui umożliwiają kradzież plików — CRITICAL 9.8 | CVEbaza.pl