PT-2026-55300 · Lobe Chat · Lobe Chat

George Chen

·

Publicado

2026-07-02

·

Atualizado

2026-07-02

·

CVE-2026-59100

CVSS v3.1

5.0

Média

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas LobeChat versões anteriores a 2.3.0
Description Existe um problema onde atacantes autenticados podem acessar e modificar dados de agentes de grupos de chat pertencentes a outros usuários ao fornecer identificadores de grupo arbitrários. Isso é causado por uma falha de autorização em nível de objeto (broken object level authorization), que ocorre quando uma aplicação não verifica adequadamente se o usuário tem permissão para acessar um objeto específico. Atacantes podem executar as seguintes operações sem predicados de escopo de usuário para ler listagens de agentes, modificar funções e ordenação de agentes, ou remover agentes de grupos:
  • getGroupAgents()
  • updateAgentInGroup()
  • removeAgentsFromGroup()
Recommendations Atualize o LobeChat para a versão 2.3.0 ou posterior.

Exploit

Correção

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59100

Produtos afetados

Lobe Chat