LibreChat przed wersją v0.8.2-rc2 zawiera krytyczną podatność umożliwiającą każdemu uwierzytelnionemu użytkownikowi wykonanie dowolnych poleceń powłoki z uprawnieniami roota wewnątrz kontenera. Wystarczy do tego pojedyncze żądanie API, co czyni podatność wyjątkowo niebezpieczną w środowiskach wieloużytkownikowych.
▸ Pokaż oryginał (EN)
LibreChat is a ChatGPT clone with additional features. Prior to v0.8.2-rc2, LibreChat's MCP stdio transport accepts arbitrary commands without validation, allowing any authenticated user to execute shell commands as root inside the container through a single API request. This vulnerability is fixed in v0.8.2-rc2.
Komponent MCP stdio transport w LibreChat przyjmuje i wykonuje dowolne polecenia systemowe bez jakiejkolwiek walidacji ich treści. Uwierzytelniony użytkownik może przesłać specjalnie spreparowane żądanie API zawierające złośliwe polecenie powłoki. Polecenie to zostaje wykonane bezpośrednio przez proces działający z uprawnieniami roota w kontenerze, bez żadnej weryfikacji czy filtrowania.
Atakujący z kontem użytkownika może uzyskać pełną kontrolę nad kontenerem z uprawnieniami roota, co obejmuje możliwość odczytu i modyfikacji wszystkich danych, wykonania dowolnego kodu (RCE) oraz potencjalnie lateral movement do innych zasobów dostępnych z poziomu kontenera.
Należy zaktualizować LibreChat do wersji v0.8.2-rc2 lub nowszej, w której podatność została naprawiona. Szczegóły patcha dostępne są w referencjach producenta (GitHub commit 211b39f3113d4e6ecab84be0a83f4e9c9dea127f).
LibreChat we wszystkich wersjach przed v0.8.2-rc2
Pomimo wysokiego poziomu CVSS (9.1 CRITICAL), wektor ataku wymaga uwierzytelnienia (PR:H), co nieznacznie ogranicza powierzchnię ataku. Podatność dotyczy środowisk kontenerowych i jest szczególnie istotna dla instancji LibreChat udostępnianych wielu użytkownikom.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HLibrechat
APPLibrechat0.8.2
Powiązane podatności
LibreChat: wyciek zmiennych środowiskowych przez konfigurację MCP
SSRF w LibreChat — brak ograniczeń funkcji Actions w domyślnej konfiguracji
LibreChat: path traversal umożliwiający usunięcie dowolnych plików
LibreChat — nieprawidłowa kontrola dostępu przy aktualizacji wiadomości
Path Traversal w LibreChat — brak walidacji ścieżek obrazów