PT-2026-37083 · Unknown · Langchain-Chatchat
Dem00
·
Publicado
2026-05-05
·
Atualizado
2026-05-05
·
CVE-2026-7846
CVSS v3.1
2.6
Baixa
| Vetor | AV:A/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
Langchain-Chatchat versões anteriores a 0.3.1.4
Descrição
Um problema de time-of-check time-of-use (TOCTOU) existe no componente OpenAI-Compatible File Upload API. A manipulação do argumento
file.filename dentro da função files() localizada no arquivo libs/chatchat-server/chatchat/server/api server/openai routes.py pode ser explorada. A exploração bem-sucedida requer acesso à rede local e é caracterizada por alta complexidade.Recomendações
Como medida paliativa temporária, restrinja o acesso à função
files() no arquivo libs/chatchat-server/chatchat/server/api server/openai routes.py para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.Exploit
Race Condition
Time Of Check To Time Of Use
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Langchain-Chatchat