CRITICAL🇬🇧 English

CVE-2026-22252

LibreChat: RCE jako root przez MCP stdio transport bez walidacji poleceń

CVSS 9.1v3.1pub. 2026-01-12upd. 2026-01-15

LibreChat przed wersją v0.8.2-rc2 zawiera krytyczną podatność umożliwiającą każdemu uwierzytelnionemu użytkownikowi wykonanie dowolnych poleceń powłoki z uprawnieniami roota wewnątrz kontenera. Wystarczy do tego pojedyncze żądanie API, co czyni podatność wyjątkowo niebezpieczną w środowiskach wieloużytkownikowych.

Pokaż oryginał (EN)

LibreChat is a ChatGPT clone with additional features. Prior to v0.8.2-rc2, LibreChat's MCP stdio transport accepts arbitrary commands without validation, allowing any authenticated user to execute shell commands as root inside the container through a single API request. This vulnerability is fixed in v0.8.2-rc2.

🤖 Analiza AI
Jak działa

Komponent MCP stdio transport w LibreChat przyjmuje i wykonuje dowolne polecenia systemowe bez jakiejkolwiek walidacji ich treści. Uwierzytelniony użytkownik może przesłać specjalnie spreparowane żądanie API zawierające złośliwe polecenie powłoki. Polecenie to zostaje wykonane bezpośrednio przez proces działający z uprawnieniami roota w kontenerze, bez żadnej weryfikacji czy filtrowania.

Skutki

Atakujący z kontem użytkownika może uzyskać pełną kontrolę nad kontenerem z uprawnieniami roota, co obejmuje możliwość odczytu i modyfikacji wszystkich danych, wykonania dowolnego kodu (RCE) oraz potencjalnie lateral movement do innych zasobów dostępnych z poziomu kontenera.

Mitygacja

Należy zaktualizować LibreChat do wersji v0.8.2-rc2 lub nowszej, w której podatność została naprawiona. Szczegóły patcha dostępne są w referencjach producenta (GitHub commit 211b39f3113d4e6ecab84be0a83f4e9c9dea127f).

Kogo dotyczy

LibreChat we wszystkich wersjach przed v0.8.2-rc2

Uwagi

Pomimo wysokiego poziomu CVSS (9.1 CRITICAL), wektor ataku wymaga uwierzytelnienia (PR:H), co nieznacznie ogranicza powierzchnię ataku. Podatność dotyczy środowisk kontenerowych i jest szczególnie istotna dla instancji LibreChat udostępnianych wielu użytkownikom.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Librechat

    APP
    Librechat
    0.8.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2026-32625CRITICAL9.6PL ✓ten sam produkt

LibreChat: wyciek zmiennych środowiskowych przez konfigurację MCP

CVE-2025-69222CRITICAL9.1PL ✓ten sam produkt

SSRF w LibreChat — brak ograniczeń funkcji Actions w domyślnej konfiguracji

CVE-2024-10361CRITICAL9.1PL ✓ten sam produkt

LibreChat: path traversal umożliwiający usunięcie dowolnych plików

CVE-2024-41703CRITICAL9.8PL ✓ten sam produkt

LibreChat — nieprawidłowa kontrola dostępu przy aktualizacji wiadomości

CVE-2024-41704CRITICAL9.8PL ✓ten sam produkt

Path Traversal w LibreChat — brak walidacji ścieżek obrazów