PT-2026-45882 · Librechat · Librechat
Logggg2402
·
Publicado
2026-06-02
·
Atualizado
2026-06-03
·
CVE-2026-44653
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
LibreChat versões anteriores a 0.8.4
Descrição
Usuários com apenas acesso de
VIEW a um servidor MCP podem recuperar segredos descriptografados gerenciados pelo administrador. Isso ocorre por meio dos endpoints "/api/mcp/servers" e "/api/mcp/servers/:serverName", onde a configuração retornada inclui valores em texto simples para as variáveis apiKey.key e oauth.client secret. Isso permite que usuários não autorizados exfiltrem credenciais do provedor.Recomendações
Atualize para a versão 0.8.4.
Redija
apiKey.key e oauth.client secret de todas as respostas de API.
Evite retornar segredos descriptografados gerenciados pelo administrador para não proprietários, utilizando indicadores de presença booleanos ou placeholders no lado do servidor.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Librechat