Een ernstig probleem is ontdekt in LibreChat, een ChatGPT-kloon met extra functies, dat versies 0.0.6 tot en met 0.7.7-rc1 treft. Dit probleem, bekend als CVE-2025-54868, stelt aanvallers in staat om willekeurige chats uit te lezen via de Meilisearch engine zonder de juiste autorisatie. Hierdoor kunnen privégesprekken van gebruikers worden blootgesteld.
Overzicht
Door een onjuist geconfigureerde testendpoint /api/search/test in eerdergenoemde versies kunnen onbevoegden toegang krijgen tot opgeslagen chats. Dit zorgt voor een aanzienlijk risico op vertrouwelijke inbreuken, aangezien een aanvaller zonder interactie of privileges toegang kan verkrijgen via een netwerkverbinding.
Aanbevelingen
- Update naar LibreChat versie 0.7.7 of hoger, waarin dit probleem is verholpen.
- Controleer uw gebruikersaccounts en chats op ongeoorloofde toegang.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54868?
Dit betreft een beveiligingslek in LibreChat waarbij onbevoegden gevoelige gesprekken kunnen uitlezen via de Meilisearch engine.
Welke systemen zijn kwetsbaar voor CVE-2025-54868?
LibreChat versies 0.0.6 tot en met 0.7.7-rc1 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar versie 0.7.7 om het probleem te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gesprekken van willekeurige gebruikers lezen zonder dat hier enige autorisatie voor nodig is.
