LibreChat — это клон ChatGPT с дополнительными функциями. С версий 0.8.2 до 0.8.2-rc3 конечная точка обратного вызова OAuth MCP (протокол модельного контекста) принимает перенаправление от поставщика удостоверений и сохраняет токены OAuth для пользователя, инициировавшего поток, без проверки того, что браузер, попадающий на URL-адрес перенаправления, вошел в систему или что вошедший в систему пользователь соответствует инициатору. Злоумышленник может отправить URL-адрес авторизации жертве; Когда жертва завершает поток, токены OAuth жертвы сохраняются в учетной записи злоумышленника LibreChat, что позволяет перехватить учетную запись служб жертвы, связанных с MCP (например, Atlassian, Outlook).
Эта уязвимость исправлена в версии 0.8.3-rc1.
Показать оригинальное описание (EN)
LibreChat is a ChatGPT clone with additional features. From 0.8.2 to 0.8.2-rc3, The MCP (Model Context Protocol) OAuth callback endpoint accepts the redirect from the identity provider and stores OAuth tokens for the user who initiated the flow, without verifying that the browser hitting the redirect URL is logged in or that the logged-in user matches the initiator. An attacker can send the authorization URL to a victim; when the victim completes the flow, the victim’s OAuth tokens are stored on the attacker’s LibreChat account, enabling account takeover of the victim’s MCP-linked services (e.g. Atlassian, Outlook). This vulnerability is fixed in 0.8.3-rc1.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 4
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Librechat Librechat
cpe:2.3:a:librechat:librechat:0.8.2:-:*:*:*:*:*:*
|
— | — |
|
Librechat Librechat
cpe:2.3:a:librechat:librechat:0.8.2:rc1:*:*:*:*:*:*
|
— | — |
|
Librechat Librechat
cpe:2.3:a:librechat:librechat:0.8.2:rc2:*:*:*:*:*:*
|
— | — |
|
Librechat Librechat
cpe:2.3:a:librechat:librechat:0.8.2:rc3:*:*:*:*:*:*
|
— | — |