Kerentanan  ·  2026-07-04

LobeChat — Broken Object-Level Authorization Mengekspos dan Memutasi Data Agent Group Pengguna Lain (CVE-2026-59100)

KerentananMedium dampakGlobalCVE-2026-59100
CVE-2026-59100 (CVSS 5.0 Medium, dipublikasikan 2026-07-02) memengaruhi LobeChat hingga versi 2.2.9. Aplikasi berisi flaw broken object-level authorization (BOLA/IDOR): attacker yang authenticated dapat memasok arbitrary group identifiers ke endpoint API getGroupAgents, updateAgentInGroup, dan removeAgentsFromGroup, mendapatkan read dan write access ke agent chat-group configurations pengguna lain tanpa authorization. Fix dicommit pada https://github.com/lobehub/lobehub/commit/9ed5a7e20d8a67c431265f5a252e9559d9920907.
LobeChat adalah platform AI chat open-source yang banyak digunakan mendukung multi-model LLM conversations dan agent configuration. BOLA dalam agent group management memungkinkan attacker yang authenticated (misalnya free-tier user pada shared deployment) untuk enumerate, read, modify, atau delete agent definitions pengguna lain — yang mungkin mencakup system prompts, tool configurations, API keys yang embedded dalam agent settings, dan linked workflow logic. Dalam enterprise LobeChat deployments ini dapat mengekspos proprietary AI agent logic dan credentials di seluruh tenants.
Attacker yang authenticated memanggil getGroupAgents, updateAgentInGroup, atau removeAgentsFromGroup dengan arbitrary victim's group ID; server mengembalikan atau memutasi victim's agent configuration tanpa ownership validation.
LobeChat (lobehub/lobe-chat) ≤ 2.2.9
Upgrade LobeChat ke versi yang berisi fix pada commit 9ed5a7e20d8a67c431265f5a252e9559d9920907 (post-2.2.9). GitHub: https://github.com/lobehub/lobehub/commit/9ed5a7e20d8a67c431265f5a252e9559d9920907
NVD — CVE-2026-59100LobeChat fix commit (GitHub)Tenable — CVE-2026-59100
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →