Kerentanan  ·  2026-07-17

Aplikasi Percakapan AI SimpleChat — Endpoint Validasi Plugin Tanpa Autentikasi

KerentananHigh dampakGlobalCVE-2026-57206
SimpleChat, aplikasi percakapan AI aman open-source milik Microsoft untuk ruang kerja berbasis dokumen personal/grup, mengekspos rute validasi plugin dan test-instantiation hanya admin tanpa pemeriksaan autentikasi apa pun.
Akses tanpa autentikasi ke test-instantiation plugin dalam platform percakapan AI dapat memungkinkan penyerang untuk menyelidiki, menyalahgunakan, atau memicu eksekusi plugin yang tidak diinginkan terhadap deployment yang seharusnya dibatasi hanya untuk administrator terpercaya, merusak batasan keamanan platform untuk document-grounded enterprise chat.
Beberapa rute validasi plugin, termasuk POST /api/admin/plugins/test-instantiation dan endpoint admin terkait di plugin_validation_endpoint.py, tidak memberlakukan autentikasi, memungkinkan pengguna tanpa autentikasi untuk memanggil fungsi instantiasi/pengujian plugin yang dimaksudkan untuk administrator.
SimpleChat sebelum 0.241.206
Upgrade ke SimpleChat 0.241.206 atau lebih baru. Perbaikan terdokumentasi di PLUGIN_VALIDATION_ROUTE_AUTH_FIX.md di repo proyek.
SimpleChat Fix Documentation
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →