CVE-2026-31942

Nome do Software Vulnerável e Versões Afetadas LibreChat versões anteriores a 0.8.3-rc1

Description Uma Referência Direta a Objeto Insegura (IDOR) existe no endpoint 'PUT /api/keys'. Devido ao uso do operador spread de objetos do JavaScript após a definição do ID do usuário autenticado, um usuário autenticado pode injetar um parâmetro userId no corpo da requisição para sobrescrever as chaves de API de outro usuário. Isso permite que um invasor substitua a configuração de chaves de API de uma vítima para provedores como OpenAI, Anthropic ou Azure, o que poderia rotear conversas através de chaves controladas pelo invasor ou causar a negação de serviço ao fornecer chaves inválidas.

Recommendations Atualize para a versão 0.8.3-rc1.