CVE-2025-66451:LibreChat中的输入验证不当漏洞
严重性:中等
类型:漏洞
CVE编号: CVE-2025-66451
LibreChat是一款具备额外功能的ChatGPT克隆应用。在0.8.0及更早版本中,当创建提示词时,系统会通过用于提示词组的PATCH端点(/api/prompts/groups/:groupId)发送JSON请求来定义和修改提示词。然而,请求体未经过充分的正确输入验证,使得用户能够以超出前端系统设计预期的方式修改提示词。具体来说,patchPromptGroup函数将req.body直接传递给了updatePromptGroup(),而未过滤敏感字段。此问题已在0.8.1版本中修复。
技术分析摘要
由danny-avila开发的开源ChatGPT克隆应用LibreChat,其0.8.0及更早版本中存在一个由不当输入验证(CWE-20)和对输入修改的控制不足(CWE-915)导致的漏洞(CVE-2025-66451)。
该漏洞位于PATCH端点 /api/prompts/groups/:groupId,该端点允许用户发送JSON请求来创建或修改提示词组。后端函数patchPromptGroup将请求体直接传递给updatePromptGroup(),既未过滤也未验证敏感字段,这使得攻击者能够绕过预期的前端限制来操纵提示词配置。这可能导致对聊天机器人行为的未授权更改,可能允许攻击者注入恶意或误导性提示词、降低聊天机器人的完整性或绕过使用策略。
该漏洞可通过网络远程利用,无需身份验证,但需要用户交互(发送精心构造的请求)。CVSS 4.0向量指标显示,其对机密性和完整性的影响为低,对可用性无影响,且攻击复杂度较低。该问题已在LibreChat 0.8.1版本中通过API添加适当的输入验证和敏感字段过滤得以修复。截至发布日期,尚未有在野利用的已知报告。
潜在影响
对于部署0.8.1之前版本LibreChat的欧洲组织,此漏洞对AI驱动聊天交互的完整性构成风险。攻击者可能操纵提示词组来改变聊天机器人的响应,从而可能传播错误信息、助力社会工程攻击或绕过内容限制。这可能会破坏对AI服务的信任、损害组织声誉,并将用户暴露于有害内容之下。
虽然对机密性和可用性的影响较低,但对完整性的影响是显著的,特别是对于那些依赖AI聊天机器人提供客户支持、内部知识库或自动化决策的组织。缺乏身份验证要求扩大了攻击面,允许外部威胁参与者远程利用此漏洞。鉴于AI聊天机器人在欧洲(尤其是在金融、医疗和公共服务等领域)的日益普及,此威胁可能破坏关键通信渠道,并在用户数据或交互被操纵时,导致违反GDPR等法规的合规性问题。
缓解建议
- 立即升级:立即将所有LibreChat实例升级到0.8.1或更高版本,以应用强制进行正确输入验证和过滤的官方补丁。
- 实施严格的服务器端验证:对所有API端点(尤其是修改提示词组的PATCH请求)实施严格的服务器端验证,以拒绝意外或敏感的字段。
- 强制执行身份验证和授权控制:在API端点上强制执行身份验证和授权控制,以确保只有授权用户才能修改提示词配置。
- 监控API日志:监控API日志中是否存在异常的PATCH请求或偏离正常使用模式的提示词组修改。
- 进行定期安全审计和代码审查:定期进行安全审计和代码审查,重点关注AI聊天机器人平台中的输入验证和访问控制。
- 对开发人员和管理员进行安全教育:对开发人员和管理员进行与JSON输入处理和API安全相关的安全编码实践教育。
- 考虑部署Web应用防火墙:考虑部署具有自定义规则的Web应用防火墙(WAF),以检测和阻止针对提示词修改端点的畸形或可疑API请求。
- 制定事件响应计划:制定事件响应计划,以快速处理任何检测到的与聊天机器人提示词操纵相关的利用尝试或可疑行为。
受影响国家
德国、法国、英国、荷兰、瑞典、意大利、西班牙
来源: CVE Database V5
发布日期: 2025年12月11日 星期四
aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7AI9y07H9uyfq+v+kN7nUQmKpY7X6X38h0Qd5ec/Ra0bNhkAL9iYnWOQCcp5rv63jIAqSrT6L/o/boxXD9u/BzF
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
