概要
Shy2593666979 AgentChat(バージョン 2.3.0 以前)の /src/backend/agentchat/api/v1/user.py における get_user_info / update_user_info 関数にリソース識別子の不正制御(IDOR)の脆弱性が存在します。user_id 引数の処理に不備があり、他ユーザーの情報にアクセス可能です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.3 (High) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
| CWE | CWE-99 (リソース識別子の不正制御) |
影響を受けるソフトウェア
- AgentChat 2.3.0 以前
修正バージョンと回避策
修正バージョンの提供状況は不明です。
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。