Plateforme
nodejs
Composant
librechat
Corrigé dans
0.7.6
Une vulnérabilité de parcours de chemin (Path Traversal) a été découverte dans LibreChat, version 0.7.5 et antérieures. Cette faille permet à un attaquant de supprimer des fichiers arbitraires sur le serveur via l'endpoint /api/files. L'absence de validation appropriée des entrées permet de contourner les mécanismes de sécurité et de supprimer des fichiers en dehors du répertoire prévu, compromettant l'intégrité et la disponibilité du système.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de supprimer des fichiers critiques sur le serveur LibreChat. Cela peut inclure des fichiers de configuration système, des données utilisateur sensibles, ou même des composants essentiels de l'application. La suppression de fichiers système pourrait entraîner une perte de fonctionnalité ou un déni de service. La suppression de données utilisateur pourrait avoir des implications importantes en matière de confidentialité et de conformité. Bien que la vulnérabilité ne permette pas directement l'exécution de code arbitraire, la suppression de fichiers pourrait être une étape préliminaire à d'autres attaques, par exemple, en supprimant des journaux d'audit ou en altérant des fichiers de configuration pour compromettre davantage le système.
Cette vulnérabilité a été rendue publique le 20 mars 2025. Aucune entrée dans le KEV (CISA Known Exploited Vulnerabilities) n'est actuellement disponible. Il n'existe pas de preuves publiques d'exploitation active à ce jour, mais la nature de la vulnérabilité (Path Traversal) la rend potentiellement exploitable par des acteurs malveillants. La disponibilité d'un proof-of-concept public pourrait augmenter le risque d'exploitation.
Organizations deploying LibreChat, particularly those using older versions (≤0.7.5), are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially compromise other users' data through file deletion. Systems with inadequate file permission configurations are also at increased risk.
• nodejs / server:
ps aux | grep librechat• nodejs / server:
find / -name "librechat" -type d 2>/dev/null | xargs -I {} sh -c "ls -la {}/api/files""• generic web:
Use curl or wget to test the /api/files endpoint with various path traversal payloads (e.g., ../../../../etc/passwd) to see if arbitrary files can be accessed or deleted. Examine access and error logs for suspicious requests.
disclosure
Statut de l'Exploit
EPSS
0.37% (percentile 59%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour LibreChat vers la version 0.7.5, qui corrige cette vulnérabilité. Si la mise à jour n'est pas possible immédiatement, il est recommandé de restreindre l'accès à l'endpoint /api/files. Une solution temporaire pourrait consister à configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des séquences de caractères suspectes, telles que '..' ou '/'. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute tentative d'exploitation de cette vulnérabilité. Après la mise à jour, vérifiez l'intégrité des fichiers système et des données utilisateur pour vous assurer qu'aucune suppression malveillante n'a eu lieu.
Actualice LibreChat a la versión 0.7.5 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos. La actualización evitará que atacantes exploten esta vulnerabilidad para comprometer la integridad y disponibilidad del sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-10361 is a HIGH severity vulnerability in LibreChat versions up to 0.7.5 allowing attackers to delete arbitrary files due to improper input validation in the /api/files endpoint.
You are affected if you are running LibreChat version 0.7.5 or earlier. Upgrade to version 0.7.5 to mitigate the risk.
Upgrade LibreChat to version 0.7.5 or later. As a temporary workaround, restrict access to the /api/files endpoint using a WAF or proxy.
As of 2025-03-20, no public exploits are known, but the vulnerability's ease of exploitation suggests a potential for exploitation.
Refer to the official LibreChat project repository and security advisories for updates and further information regarding CVE-2024-10361.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.