Katalog CVE

CVE-2026-54037

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność w LibreChat przed wersją 0.8.4-rc1 pozwala uwierzytelnionemu użytkownikowi na ominięcie ograniczników szybkości dodanych dla endpointu /fork poprzez użycie endpointu /duplicate, który wykonuje te same kosztowne operacje bazodanowe, ale nie posiada żadnego ogranicznika. Może to prowadzić do wyczerpania zasobów serwera.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku DoS przez uwierzytelnionego użytkownika, który może wielokrotnie wywoływać endpoint /duplicate, powodując przeciążenie bazy danych i spowolnienie lub uniemożliwienie działania usługi dla innych użytkowników.

Rekomendacja

Zaleca się natychmiastową aktualizację LibreChat do wersji 0.8.4-rc1 lub nowszej, która zawiera poprawkę dodającą ograniczniki szybkości również dla endpointu /duplicate.

Oryginalny opis (angielski, źródło NVD)

LibreChat is an enhanced ChatGPT clone that supports multiple AI providers. Prior to 0.8.4-rc1, the fix for CVE-2025-7105 added forkIpLimiter and forkUserLimiter rate limiters to POST /api/convos/fork to prevent rapid-fire conversation duplication. However, the POST /api/convos/duplicate endpoint — which is in the same file and performs the exact same expensive database operations — was not given any rate limiter. An authenticated user can bypass the CVE-2025-7105 fix by using /duplicate instead of /fork to exhaust server resources. This vulnerability is fixed in 0.8.4-rc1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS