HIGHCVE-2024-10361CVSS 8.1

Path Traversal による任意のファイル削除の脆弱性 (danny-avila/librechat)

プラットフォーム

nodejs

コンポーネント

librechat

修正版

0.7.6

AI Confidence: highNVDEPSS 0.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-10361は、LibreChatの/api/filesエンドポイントにおけるパス・トラバーサル脆弱性です。不適切な入力検証により、攻撃者は意図しないディレクトリ外のファイルを削除することが可能です。この脆弱性は、LibreChatのバージョン0.7.5以前に影響を与え、バージョン0.7.5で修正されました。

影響と攻撃シナリオ

この脆弱性を悪用すると、攻撃者はサーバー上の任意のファイルを削除できます。これにより、重要なシステムファイル、ユーザーデータ、アプリケーションリソースが失われる可能性があります。ファイル削除は、システムの可用性を著しく低下させ、機密情報の漏洩や改ざんにつながる可能性があります。特に、設定ファイルやデータベースファイルが削除された場合、システム全体の機能停止を引き起こす可能性があります。この脆弱性は、類似のパス・トラバーサル攻撃と同様に、攻撃者がシステムを完全に制御することを可能にする可能性があります。

悪用の状況

この脆弱性は、2025年3月20日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は高いと考えられます。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、機密情報を窃取したり、システムを破壊したりする可能性があります。

リスク対象者翻訳中…

Organizations deploying LibreChat, particularly those using older versions (≤0.7.5), are at risk. Shared hosting environments where multiple users share the same server are especially vulnerable, as an attacker could potentially compromise other users' data through file deletion. Systems with inadequate file permission configurations are also at increased risk.

検出手順翻訳中…

• nodejs / server:

ps aux | grep librechat

• nodejs / server:

find / -name "librechat" -type d 2>/dev/null | xargs -I {} sh -c "ls -la {}/api/files""

• generic web: Use curl or wget to test the /api/files endpoint with various path traversal payloads (e.g., ../../../../etc/passwd) to see if arbitrary files can be accessed or deleted. Examine access and error logs for suspicious requests.

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.37% (59% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントlibrechat

ベンダーdanny-avila

影響範囲修正版

0.7.0 – 0.7.50.7.6

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-10-24
公開日2025-03-20
更新日2025-10-15
EPSS 更新日2026-04-02

緩和策と回避策

まず、LibreChatをバージョン0.7.5以降にアップデートすることを強く推奨します。アップデートがすぐに利用できない場合は、/api/filesエンドポイントへのアクセスを一時的に制限するか、WAF（Web Application Firewall）を使用して、パス・トラバーサル攻撃を検知・ブロックするルールを実装してください。また、ファイル削除操作を行う前に、入力値を厳密に検証し、許可されたファイルパスのみを処理するように設定を見直してください。ファイルシステムのアクセス権限を適切に設定し、LibreChatプロセスがアクセスできるファイルやディレクトリを制限することも有効です。

修正方法翻訳中…

Actualice LibreChat a la versión 0.7.5 o superior. Esta versión contiene una corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos. La actualización evitará que atacantes exploten esta vulnerabilidad para comprometer la integridad y disponibilidad del sistema.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-10361 — パス・トラバーサルはLibreChatで何ですか？

CVE-2024-10361は、LibreChatの/api/filesエンドポイントにおけるパス・トラバーサル脆弱性で、攻撃者が任意のファイルを削除できる可能性があります。

CVE-2024-10361はLibreChatで影響を受けますか？

LibreChatのバージョンが0.7.5以前の場合、この脆弱性の影響を受けます。バージョン0.7.5以降にアップデートすることで修正されます。

CVE-2024-10361はLibreChatでどうやって修正しますか？

LibreChatをバージョン0.7.5以降にアップデートしてください。アップデートが難しい場合は、WAFルールを実装するか、/api/filesエンドポイントへのアクセスを制限してください。

CVE-2024-10361は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は高いと考えられます。

CVE-2024-10361のLibreChat公式アドバイザリはどこで入手できますか？

LibreChatの公式アドバイザリは、今後の発表をお待ちください。関連情報をLibreChatのウェブサイトやGitHubリポジトリで確認してください。