PT-2026-55300 · Lobe Chat · Lobe Chat
George Chen
·
Publicado
2026-07-02
·
Atualizado
2026-07-02
·
CVE-2026-59100
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
LobeChat versões anteriores a 2.3.0
Description
Existe um problema onde atacantes autenticados podem acessar e modificar dados de agentes de grupos de chat pertencentes a outros usuários ao fornecer identificadores de grupo arbitrários. Isso é causado por uma falha de autorização em nível de objeto (broken object level authorization), que ocorre quando uma aplicação não verifica adequadamente se o usuário tem permissão para acessar um objeto específico. Atacantes podem executar as seguintes operações sem predicados de escopo de usuário para ler listagens de agentes, modificar funções e ordenação de agentes, ou remover agentes de grupos:
getGroupAgents()updateAgentInGroup()removeAgentsFromGroup()
Recommendations
Atualize o LobeChat para a versão 2.3.0 ou posterior.
Exploit
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Lobe Chat