CVE-2026-32625: Уразливість LibreChat дозволяє викрадення секретів
Уразливість CVE-2026-32625 в LibreChat дозволяє викрадення секретів через шкідливі MCP сервери. Оновіть до версії 0.8.4-rc1 для захисту.
- CVSS
- 9.6 CRITICAL
- EPSS
- 85.43%
- Активно використовується
- немає в KEV
- Продукт
- librechat
Що відомо
У LibreChat до версії 0.8.3 існує критична уразливість, що дозволяє автентифікованим користувачам викрасти конфіденційні дані шляхом створення шкідливої конфігурації MCP сервера. Це призводить до передачі секретних ключів і облікових даних бази даних на сервер зловмисника.
Бізнес-вплив
Уразливість дозволяє повністю скомпрометувати криптографічні матеріали та облікові дані бази даних без адміністративних прав, що ставить під загрозу цілісність і безпеку інсталяції LibreChat. Це може призвести до витоку конфіденційної інформації та порушення роботи сервісу.
Рекомендовані дії адміністратора
Рекомендується оновити LibreChat до версії 0.8.4-rc1 або новішої, перевірити конфігурації MCP серверів на наявність підозрілих URL, обмежити можливість створення MCP серверів лише довіреним користувачам, а також провести аудит логів на ознаки експлуатації уразливості.