CRITICAL🇵🇱 Wersja polska

CVE-2026-22252

CVSS 9.1v3.1pub. 2026-01-12upd. 2026-01-15

LibreChat is a ChatGPT clone with additional features. Prior to v0.8.2-rc2, LibreChat's MCP stdio transport accepts arbitrary commands without validation, allowing any authenticated user to execute shell commands as root inside the container through a single API request. This vulnerability is fixed in v0.8.2-rc2.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Librechat

    APP
    Librechat
    0.8.2
🔵
CHECK WITH VENDOR
No clear patch data available. Check vendor references.
Tags
Container
CWE
References

Related vulnerabilities

CVE-2026-32625CRITICAL9.6PL ✓ten sam produkt

LibreChat: wyciek zmiennych środowiskowych przez konfigurację MCP

CVE-2025-69222CRITICAL9.1PL ✓ten sam produkt

SSRF w LibreChat — brak ograniczeń funkcji Actions w domyślnej konfiguracji

CVE-2024-10361CRITICAL9.1PL ✓ten sam produkt

LibreChat: path traversal umożliwiający usunięcie dowolnych plików

CVE-2024-41703CRITICAL9.8PL ✓ten sam produkt

LibreChat — nieprawidłowa kontrola dostępu przy aktualizacji wiadomości

CVE-2024-41704CRITICAL9.8PL ✓ten sam produkt

Path Traversal w LibreChat — brak walidacji ścieżek obrazów

CVE-2026-22252 — Librechat — CRITICAL — CVSS 9.1 | CVEbaza.pl