PT-2026-55298 · Lobe Chat · Lobe Chat
George Chen
·
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-59098
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
LobeChat versões anteriores a 2.3.0
Description
Existe uma falha de controle de acesso na funcionalidade de busca semântica de geração aumentada de recuperação (RAG). Atacantes autenticados podem acessar dados de outros usuários devido à ausência de predicados de identificação de usuário no método
semanticSearch do modelo de chunk. Ao fornecer identificadores arbitrários de arquivos ou bases de conhecimento de vítimas através dos caminhos de recuperação de chunk e base de conhecimento de chat, um atacante pode recuperar metadados, nomes de arquivos e conteúdo de texto pertencentes a outros usuários.Recommendations
Atualize o LobeChat para a versão 2.3.0 ou posterior.
Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lobe Chat