概要
LibreChat は オープンソース の AI チャット プラットフォーム です。バージョン 0.8.1-rc2 に おいて、JWT(JSON Web Token)の secret が 複数 の サービス 間 で 共有 されて いる ため、RAG(Retrieval-Augmented Generation)API の 認証 を バイパス できる 脆弱性(CWE-284: Improper Access Control)が 存在 します。
攻撃者 が 共有 された JWT secret を 利用 して 有効 な トークン を 生成 する こと で、RAG API に 不正 に アクセス し、保存 されて いる ドキュメント データ の 取得 や 改ざん が 行われる 恐れ が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 8.0 |
| 深刻度 | High |
| CWE | CWE-284 (不適切 な アクセス 制御) |
影響 を 受ける ソフトウェア
| 製品名 | ベンダー | 影響 バージョン |
|---|---|---|
| LibreChat | LibreChat | 0.8.1-rc2 |
修正 バージョン と 回避策
- 修正バージョン: ベンダー の アドバイザリ を 確認
- 回避策: JWT secret を サービス ごと に 分離 する。RAG API へ の ネットワーク アクセス を 制限 する
関連 リンク
データソース: NVD (NIST) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。