https://blog.qife122.com/tags/librechat/ Recent content in LibreChat on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Dec 2025 17:18:47 +0800 https://blog.qife122.com/p/librechat-%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E-cve-2025-66450-%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ Sat, 13 Dec 2025 17:18:47 +0800 https://blog.qife122.com/p/librechat-%E5%AD%98%E5%82%A8%E5%9E%8Bxss%E6%BC%8F%E6%B4%9E-cve-2025-66450-%E6%8A%80%E6%9C%AF%E5%88%86%E6%9E%90%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%8C%87%E5%8D%97/ <h1 id="cve-2025-66450librechat-中-cwe-80-基本xss漏洞的技术分析">CVE-2025-66450：LibreChat 中 CWE-80 基本XSS漏洞的技术分析</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2025-66450</strong></p> <p>LibreChat 是一个具有附加功能的 ChatGPT 克隆项目。在 0.8.0 及以下版本中，当用户发布问题时，攻击者可以修改 POST 请求中的 <code>iconURL</code> 参数。恶意代码随后会被存储在聊天记录中，并可被分享给其他用户。当分享带有潜在恶意“跟踪器”的聊天时，加载的资源可能导致查看所发送聊天链接的用户隐私泄露。此问题已在 0.8.1 版本中修复。</p>