LibreChatは追加機能を持つChatGPTのクローンです。バージョン0.8.1-rc2は、デフォルト構成におけるActions機能の制限の欠如により、サーバーサイドリクエストフォージェリ (SSRF) の脆弱性があります。LibreChatでは、ユーザーがOpenAPI仕様を介してリモートサービスと対話できる、事前に定義された指示とアクションを持つエージェントを設定できます。HTTPメソッド、パラメータ、カスタムヘッダーを含む認証方法など、さまざまなHTTPメソッド、パラメータ、認証方法をサポートしています。デフォルトでは、アクセス可能なサービスに対する制限はありません。

このSSRF脆弱性を悪用されると、攻撃者はLibreChatコンテナ内の内部サービスに不正にアクセスできます。具体的には、RAG APIなどの内部コンポーネントにアクセスし、機密情報を窃取したり、システム設定を変更したりする可能性があります。攻撃者は、Actions機能を通じて任意のHTTPリクエストを送信できるため、内部ネットワークへのアクセスや、外部サービスへの不正なアクセスも可能になります。この脆弱性は、機密情報の漏洩、システムの改ざん、さらにはシステム全体の制御権の奪取につながる可能性があります。Log4Shellと同様に、広範囲な影響を及ぼす可能性があります。

Organizations deploying LibreChat within Docker containers, particularly those with exposed internal APIs or sensitive data accessible via the RAG API, are at significant risk. Shared hosting environments where LibreChat instances share resources with other applications are also vulnerable, as a successful exploitation could potentially impact other tenants.

• docker: Inspect Docker container network configuration for excessive outbound access.

docker inspect <container_id> | grep NetworkSettings

• linux / server: Monitor system logs for unusual outbound HTTP requests originating from the LibreChat container.

journalctl -u librechat -f | grep -i "http://"

• generic web: Monitor access logs for requests to internal services from the LibreChat server's IP address. Look for unusual user-agent strings or request patterns.

grep "<librechat_ip>" /var/log/apache2/access.log

1. 2026-01-07Disclosure

   disclosure

1. 予約済み2025-12-29
2. 公開日2026-01-07
3. 更新日2026-01-15
4. EPSS 更新日2026-03-23

この脆弱性への対応策として、まずLibreChatを最新バージョンにアップデートすることを推奨します。アップデートが困難な場合は、Actions機能の利用を一時的に停止するか、アクセス可能なサービスを厳密に制限するWAFやプロキシルールを適用することを検討してください。また、OpenAPI仕様の検証を強化し、不正なリクエストをブロックするカスタムヘッダーを導入することも有効です。LibreChatのセキュリティ設定を見直し、不要な機能やアクセス権限を削除することも重要です。アップデート後、Actions機能が正しく制限されていることを確認してください。