Katalog CVE

CVE-2026-59098

ŚrednieCVSS 6.5
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

LobeChat do wersji 2.2.9 zawiera podatność związaną z niespójną kontrolą dostępu w funkcji wyszukiwania semantycznego RAG. Uwierzytelnieni atakujący mogą uzyskać dostęp do danych innych użytkowników, wykorzystując brak predykatów identyfikujących użytkownika w metodzie semanticSearch modelu chunk.

Ocena ryzyka

Ryzyko polega na możliwości kradzieży poufnych danych, takich jak treści plików, nazwy plików i metadane innych użytkowników, co może prowadzić do naruszenia prywatności i wycieku informacji.

Rekomendacja

Należy niezwłocznie zaktualizować LobeChat do wersji nowszej niż 2.2.9, która zawiera poprawkę usuwającą lukę w kontroli dostępu. Do czasu aktualizacji zaleca się ograniczenie dostępu do funkcji wyszukiwania semantycznego.

Oryginalny opis (angielski, źródło NVD)

LobeChat through 2.2.9 contains a broken access control vulnerability in the retrieval-augmented-generation semantic search functionality that allows authenticated attackers to access other users' data by exploiting missing user-identifier predicates in the chunk model semanticSearch method. Attackers can supply arbitrary victim file or knowledge-base identifiers through the chunk retrieval and chat knowledge-base paths to retrieve text content, file names, and metadata belonging to other users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS