CVE-2025-66451：danny-avila LibreChat中的CWE-20输入验证不当

严重性：中等 类型：漏洞 CVE：CVE-2025-66451

LibreChat是一个具有附加功能的ChatGPT克隆。在0.8.0及更低版本中，创建提示词时，会通过用于提示词组的PATCH端点（/api/prompts/groups/:groupId）发送JSON请求来定义和修改提示词。然而，请求体未经过充分的正确输入验证，使得用户能够以非前端系统预期的方式修改提示词。patchPromptGroup函数将req.body直接传递给updatePromptGroup()，而没有过滤敏感字段。此问题已在0.8.1版本中修复。

技术摘要

由danny-avila开发的开源ChatGPT克隆LibreChat，其0.8.0及更低版本包含一个漏洞（CVE-2025-66451），源于不当的输入验证（CWE-20）和对输入修改的控制不足（CWE-915）。该漏洞存在于PATCH端点/api/prompts/groups/:groupId中，该端点允许用户发送JSON请求来创建或修改提示词组。后端函数patchPromptGroup将请求体直接传递给updatePromptGroup()，而不过滤或验证敏感字段，使得攻击者能够绕过预期的前端限制来操纵提示词配置。这可能导致聊天机器人行为发生未经授权的更改，可能允许攻击者注入恶意或误导性提示词、降低聊天机器人完整性或绕过使用策略。该漏洞可通过网络远程利用且无需身份验证，但需要用户交互（发送精心构造的请求）。CVSS 4.0向量表明机密性和完整性影响较低，无可用性影响，攻击复杂度低。该问题已在LibreChat 0.8.1版本中通过在API中添加正确的输入验证和敏感字段过滤得以修复。截至发布日期，尚未有已知的野外利用报告。

潜在影响

对于部署0.8.1之前版本LibreChat的欧洲组织，此漏洞对AI驱动的聊天机器人交互的完整性构成风险。攻击者可能操纵提示词组以改变聊天机器人的响应，从而可能传播错误信息、实现社会工程学攻击或绕过内容限制。这可能破坏对AI服务的信任、损害组织声誉并使用户接触有害内容。虽然机密性和可用性影响较低，但完整性影响显著，特别是对于依赖AI聊天机器人进行客户支持、内部知识库或自动化决策的组织而言。缺乏身份验证要求增加了攻击面，允许外部威胁参与者远程利用该漏洞。鉴于AI聊天机器人在欧洲的日益普及，特别是在金融、医疗和公共部门等领域，该威胁可能破坏关键通信渠道，并导致如果用户数据或交互被操纵，则可能引发GDPR等法规的合规性问题。

缓解建议

1. 立即将所有LibreChat实例升级到0.8.1或更高版本，以应用强制执行正确输入验证和过滤的官方补丁。
2. 在所有API端点（尤其是修改提示词组的PATCH请求）上实施严格的服务器端验证，以拒绝意外或敏感字段。
3. 在API端点上强制执行身份验证和授权控制，以确保只有授权用户才能修改提示词配置。
4. 监控API日志中是否存在偏离正常使用模式的异常PATCH请求或对提示词组的修改。
5. 定期进行安全审计和代码审查，重点关注AI聊天机器人平台中的输入验证和访问控制。
6. 对开发人员和管理员进行有关JSON输入处理和API安全的安全编码实践教育。
7. 考虑部署具有自定义规则的Web应用程序防火墙（WAF），以检测和阻止针对提示词修改端点的畸形或可疑API请求。
8. 维护事件响应计划，以快速处理任何检测到的与聊天机器人提示词操纵相关的利用尝试或可疑行为。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利、西班牙

来源： CVE Database V5 发布日期： 2025年12月11日 星期四