Krytyczna luka w LibreChat umożliwiająca wyciek kluczy i danych bazy

W LibreChat do wersji 0.8.3 luka pozwala na wyciek kluczy szyfrowania i danych bazy. Zalecana aktualizacja do wersji 0.8.4-rc1.
CVE-2026-32625CVSS 9.6General

Krytyczna luka w LibreChat umożliwiająca wyciek kluczy i danych bazy

W LibreChat do wersji 0.8.3 luka pozwala na wyciek kluczy szyfrowania i danych bazy. Zalecana aktualizacja do wersji 0.8.4-rc1.

CVSS
9.6 CRITICAL
EPSS
85.43%
Aktywnie wykorzystywana
brak w KEV
Produkt
librechat

Co wiadomo

W LibreChat do wersji 0.8.3 w integracji Model Context Protocol (MCP) serwer nieprawidłowo przetwarza zmienne środowiskowe podczas walidacji URL serwera MCP. Uwierzytelniony użytkownik może skonfigurować złośliwy serwer MCP, co prowadzi do wysłania poufnych sekretów, takich jak klucze szyfrowania i dane bazy, na serwer atakującego.

Wpływ biznesowy

Luka pozwala na pełne przejęcie materiałów kryptograficznych i poświadczeń bazy danych LibreChat bez uprawnień administracyjnych, co stwarza poważne ryzyko dla bezpieczeństwa i integralności systemu. Atakujący mogą uzyskać dostęp do wrażliwych danych i potencjalnie przejąć kontrolę nad instalacją.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie LibreChat do wersji 0.8.4-rc1 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do funkcji MCP, monitorować logi pod kątem podejrzanych połączeń oraz przeprowadzić przegląd konfiguracji i uprawnień użytkowników.

Źródła