CVE-2025-66451: CWE-20: danny-avila LibreChat 中的输入验证不当漏洞

严重性：中危 类型：漏洞 CVE：CVE-2025-66451

LibreChat 是一个具有附加功能的 ChatGPT 克隆项目。在 0.8.0 及更早版本中，创建提示词时，会通过用于提示词组的 PATCH 端点 (/api/prompts/groups/:groupId) 发送 JSON 请求来定义和修改提示词。然而，请求体未经过充分的正确输入验证，使得用户能够以非前端系统预期的方式修改提示词。patchPromptGroup 函数将 req.body 直接传递给 updatePromptGroup()，而没有过滤敏感字段。此问题已在版本 0.8.1 中修复。

AI 分析

技术总结

由 danny-avila 开发的开源 ChatGPT 克隆项目 LibreChat，在 0.8.0 及更早版本中存在一个由于输入验证不当 (CWE-20) 和对输入修改控制不足 (CWE-915) 导致的漏洞 (CVE-2025-66451)。该漏洞位于 PATCH 端点 /api/prompts/groups/:groupId，该端点允许用户发送 JSON 请求来创建或修改提示词组。后端函数 patchPromptGroup 将请求体直接传递给 updatePromptGroup()，而没有过滤或验证敏感字段，使得攻击者能够操纵超出预期前端限制的提示词配置。这可能导致聊天机器人行为发生未经授权的更改，可能允许攻击者注入恶意或误导性提示词、降低聊天机器人完整性或绕过使用策略。该漏洞可通过网络远程利用，无需身份验证，但需要用户交互（发送精心构造的请求）。CVSS 4.0 向量表明其机密性和完整性影响较低，对可用性无影响，攻击复杂度较低。该问题已在 LibreChat 版本 0.8.1 中通过为 API 添加适当的输入验证和敏感字段过滤得到修复。截至发布日期，尚未有已知的在野利用报告。

潜在影响

对于部署 LibreChat 0.8.1 之前版本的欧洲组织，此漏洞对 AI 驱动的聊天机器人交互的完整性构成风险。攻击者可能操纵提示词组以改变聊天机器人的响应，从而可能传播错误信息、启用社会工程攻击或绕过内容限制。这可能会破坏对 AI 服务的信任、损害组织声誉，并让用户接触有害内容。虽然机密性和可用性影响较低，但完整性影响显著，特别是对于依赖 AI 聊天机器人进行客户支持、内部知识库或自动化决策的组织。缺乏身份验证要求扩大了攻击面，允许外部威胁参与者远程利用该漏洞。鉴于 AI 聊天机器人在欧洲（尤其是在金融、医疗和公共服务等领域）的日益普及，如果用户数据或交互被操纵，该威胁可能会破坏关键通信渠道，并导致根据 GDPR 等法规产生的合规问题。

缓解建议

1. 立即将所有 LibreChat 实例升级到 0.8.1 或更高版本，以应用强制实施适当输入验证和过滤的官方补丁。
2. 对所有 API 端点（尤其是修改提示词组的 PATCH 请求）实施严格的服务器端验证，以拒绝意外或敏感的字段。
3. 在 API 端点上强制执行身份验证和授权控制，以确保只有授权用户才能修改提示词配置。
4. 监控 API 日志中是否存在异常的 PATCH 请求或偏离正常使用模式的提示词组修改。
5. 定期进行安全审计和代码审查，重点关注 AI 聊天机器人平台中的输入验证和访问控制。
6. 对开发人员和管理员进行有关 JSON 输入处理和 API 安全的安全编码实践教育。
7. 考虑部署具有自定义规则的 Web 应用防火墙 (WAF)，以检测和阻止针对提示词修改端点的畸形或可疑 API 请求。
8. 维护事件响应计划，以快速处理任何检测到的与聊天机器人提示词操纵相关的利用尝试或可疑行为。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙

技术详情

数据版本： 5.2 分配者简称： GitHub_M 保留日期： 2025-12-01T18:44:35.638Z CVSS 版本： 4.0 状态： 已发布

威胁 ID： 693b487c22246175c6a6ed55 添加到数据库： 2025年12月11日，晚上10:41:00 最后丰富： 2025年12月11日，晚上10:55:59 最后更新： 2025年12月12日，上午12:59:15 浏览量： 6

来源： CVE 数据库 V5 发布日期： 2025年12月11日星期四 (12/11/2025, 22:33:24 UTC) 供应商/项目： danny-avila 产品： LibreChat