VRDA Feed
by
Vulnerability Response Decision Assistance Feed : 脆弱性脅威分析用情報の定型データ配信
|
[ about VRDA Feed
| JPCERT/CC
]
|
|
|
|
|
|
分析対象脆弱性情報 (リビジョン番号 : 1)
|
[ Download XML
]
|
|
JVNDB-2026-001468
( CVE-2025-69220 | CVE-2025-69220 ) |
|
librechatにおける複数の脆弱性
|
|
https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-001468.html |
|
原文
LibreChatは追加機能を備えたChatGPTのクローンです。バージョン0.8.1-rc2では、エージェントのファイルコンテキストおよびファイル検索へのファイルアップロードに対する適切なアクセス制御が強制されていません。このため、認証された攻撃者がエージェントIDにアクセスできる場合、たとえそのエージェントに対する権限がなくても、新しいファイルをファイルコンテキストやファイル検索にアップロードすることで任意のエージェントの動作を変更できます。この問題はバージョン0.8.2-rc2で修正されています。
|
|
|
|
|
この情報について
|
分析情報提供元:
|
JVN iPedia
|
初版公開日:
|
2026-01-19
|
分析対象脆弱性情報の分類:
|
アドバイザリ・注意喚起
|
最終更新日:
|
2026-01-19
|
|
|
|
|
脆弱性の影響を受ける製品の識別子
|
|
cpe:/a:librechat:librechat
|
|
|
|
|
|
脆弱性の分析内容
|
|
[攻撃元区分]
[?]
|
|
未評価 [?] |
|
ネットワーク [?] |
|
|
[攻撃条件の複雑さ]
[?]
|
|
未評価 [?] |
|
低 [?] |
|
|
[攻撃前の認証要否]
[?]
|
|
未評価 [?] |
|
不要 [?] |
|
|
[機密性への影響]
[?]
|
|
未評価 [?] |
|
全面的 [?] |
|
|
[完全性への影響]
[?]
|
|
未評価 [?] |
|
全面的 [?] |
|
|
[可用性への影響]
[?]
|
|
未評価 [?] |
|
全面的 [?] |
|
|
関連情報
|
|
Common Vulnerabilities and Exposures (CVE) CVE-2025-69220 |
|
|
|
|
|
|
|
National Vulnerability Database (NVD) CVE-2025-69220 |
|
|
|
|
|
|
|
|
|
|
参考情報
|
|
GitHub Advisory Database LibreChat Insufficient Access Control on Agent Files Advisory danny-avila/LibreChat GitHub |
|
|
|
|
|
|
|
JVNDB CWE-284 不適切なアクセス制御 |
|
|
|
|
|
|
|
JVNDB CWE-862 認証の欠如 |
|
|
|
|
|
|
|
関連文書 WSTG - v4.2 | OWASP Foundation (https://raw.githubusercontent.com/OWASP/ASVS/v5.0.0/5.0/OWASP_Application_Security_Verification_Standard_5.0.0_en.pdf) |
|
|
|
|
|
|
|
関連文書 fix: Agent File Upload Permission Checks (#11144) danny-avila/LibreChat@4b9c6ab GitHub |
|
|
|
|
|
|
|
関連文書 Release v0.8.2-rc2 danny-avila/LibreChat GitHub |
|
|
|
|
|
|
|
関連文書 WSTG - v4.2 | OWASP Foundation (https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/05-Authorization_Testing/02-Testing_for_Bypassing_Authorization_Schema.html) |
|
|
|
|
|
|
|
|
Copyright © 2026 JPCERT/CC All Rights Reserved.
|