CVE-2026-59100
ŚrednieCVSS 5.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
LobeChat do wersji 2.2.9 zawiera podatność związaną z uszkodzoną autoryzacją na poziomie obiektu, która umożliwia uwierzytelnionym atakującym dostęp i modyfikację danych agentów grup czatu innych użytkowników poprzez podanie dowolnych identyfikatorów grup. Atakujący mogą wywoływać operacje getGroupAgents, updateAgentInGroup i removeAgentsFromGroup bez predykatów ograniczających do użytkownika, co pozwala na odczyt list agentów, zmianę ich ról i kolejności oraz usuwanie agentów z grup czatu należących do innych użytkowników.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do poufnych danych agentów oraz możliwości ich modyfikacji lub usunięcia, co może prowadzić do naruszenia integralności i poufności systemu oraz zakłócenia działania grup czatu innych użytkowników.
Rekomendacja
Zaleca się natychmiastową aktualizację LobeChat do wersji nowszej niż 2.2.9 oraz wdrożenie kontroli dostępu na poziomie obiektu, aby upewnić się, że użytkownicy mogą manipulować tylko własnymi danymi grup czatu.
Oryginalny opis (angielski, źródło NVD)
LobeChat through 2.2.9 contains a broken object level authorization vulnerability that allows authenticated attackers to access and modify other users' chat-group agent data by supplying arbitrary group identifiers. Attackers can invoke the getGroupAgents, updateAgentInGroup, and removeAgentsFromGroup operations without user-scoped predicates to read agent listings, modify agent roles and ordering, and remove agents from chat groups belonging to other users.

