Katalog CVE

CVE-2026-59100

ŚrednieCVSS 5.0
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

LobeChat do wersji 2.2.9 zawiera podatność związaną z uszkodzoną autoryzacją na poziomie obiektu, która umożliwia uwierzytelnionym atakującym dostęp i modyfikację danych agentów grup czatu innych użytkowników poprzez podanie dowolnych identyfikatorów grup. Atakujący mogą wywoływać operacje getGroupAgents, updateAgentInGroup i removeAgentsFromGroup bez predykatów ograniczających do użytkownika, co pozwala na odczyt list agentów, zmianę ich ról i kolejności oraz usuwanie agentów z grup czatu należących do innych użytkowników.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do poufnych danych agentów oraz możliwości ich modyfikacji lub usunięcia, co może prowadzić do naruszenia integralności i poufności systemu oraz zakłócenia działania grup czatu innych użytkowników.

Rekomendacja

Zaleca się natychmiastową aktualizację LobeChat do wersji nowszej niż 2.2.9 oraz wdrożenie kontroli dostępu na poziomie obiektu, aby upewnić się, że użytkownicy mogą manipulować tylko własnymi danymi grup czatu.

Oryginalny opis (angielski, źródło NVD)

LobeChat through 2.2.9 contains a broken object level authorization vulnerability that allows authenticated attackers to access and modify other users' chat-group agent data by supplying arbitrary group identifiers. Attackers can invoke the getGroupAgents, updateAgentInGroup, and removeAgentsFromGroup operations without user-scoped predicates to read agent listings, modify agent roles and ordering, and remove agents from chat groups belonging to other users.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS