JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-001467 LibreChatは追加機能を備えたChatGPTのクローンです。バージョン0.8.1-rc2では、エージェントの権限を照会する際に適切なアクセス制御が適用されていませんでした。認証された攻撃者は、このエージェントに対する権限がなくても任意のエージェントの権限を読み取ることができます。LibreChatでは、あらかじめ定義された命令セットとコンテキストを持つエージェントの設定が可能です。プライベートエージェントは他のユーザーからは見えません。しかし、攻撃者がエージェントIDを知っている場合、そのエージェントの権限や他のユーザーに個別に割り当てられた権限を読み取ることが可能です。この問題はバージョン0.8.2-rc2で修正されました。 cpe:/a:librechat:librechat https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-001467.html Common Vulnerabilities and Exposures (CVE) CVE-2025-69221 https://www.cve.org/CVERecord?id=CVE-2025-69221 National Vulnerability Database (NVD) CVE-2025-69221 https://nvd.nist.gov/vuln/detail/CVE-2025-69221 GitHub Advisory Database LibreChat Insufficient Access Control on Agent Permission Queries Advisory danny-avila/LibreChat GitHub https://github.com/danny-avila/LibreChat/security/advisories/GHSA-5ccx-4r3h-9qc7 JVNDB CWE-862 https://cwe.mitre.org/data/definitions/862.html JVNDB CWE-284 https://cwe.mitre.org/data/definitions/284.html 関連文書 Release v0.8.2-rc2 danny-avila/LibreChat GitHub https://github.com/danny-avila/LibreChat/releases/tag/v0.8.2-rc2 関連文書 fix: Access Control on Agent Permission Queries (#11145) danny-avila/LibreChat@06ba025 GitHub https://github.com/danny-avila/LibreChat/commit/06ba025bd95574c815ac6968454be7d3b024391c 2026-01-19T15:08:03+09:00 2026-01-19T15:08:03+09:00