CVE-2026-22252 — 神龙十问 AI 深度分析摘要

🚨 **本质**：LibreChat 的 MCP stdio 传输存在授权缺陷，接受任意命令且未验证。 💥 **后果**：攻击者可通过单次 API 请求，以 **root** 身份在容器内执行 Shell 命令。

🔍 **CWE**：CWE-285（不当授权）。 📍 **缺陷点**：MCP stdio 传输层未对接收的命令进行严格的身份验证和权限检查。

📦 **产品**：LibreChat（danny-avila 维护）。 📉 **版本**：**v0.8.2-rc2 之前**的所有版本均受影响。

👑 **权限**：获得容器内的 **root** 权限。 📂 **数据**：可完全控制容器环境，读取/修改所有数据，甚至横向移动。

🔑 **门槛**：中等。 ✅ **前提**：攻击者需具备 **经过身份验证** 的用户账号。 ⚡ **操作**：仅需发送 **单个 API 请求** 即可触发。

📜 **Exp**：目前 **无公开 PoC**（pocs 列表为空）。 🌍 **在野**：暂无在野利用报告，但风险极高。

🔎 **自查**：检查 LibreChat 版本是否低于 v0.8.2-rc2。 🛠️ **扫描**：监控针对 MCP stdio 接口的异常命令注入请求。

🛡️ **补丁**：官方已发布修复。 🔗 **链接**：参见 GitHub Commit `211b39f` 及安全公告 `GHSA-cxhj-j78r-p88f`。

⚠️ **临时规避**：若无法升级，建议 **限制 MCP 接口访问**，仅允许可信 IP，或暂时禁用相关功能。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：9.8 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**：立即升级至修复版本，防止容器被完全接管。