支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-68492 基础信息
漏洞信息
                                        # N/A

## 概述
Chainlit 在 2.8.5 之前的版本存在授权绕过漏洞,攻击者可通过用户控制的密钥获取未授权访问。

## 影响版本
Chainlit 版本低于 2.8.5。

## 细节
该漏洞允许已登录的攻击者通过操控用户可控的密钥绕过授权机制,进而访问本不应访问的会话数据(threads)。

## 影响
攻击者可查看任意会话内容,或获取会话的所有权,导致数据泄露和权限提升。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Chainlit versions prior to 2.8.5 contain an authorization bypass through user-controlled key vulnerability. If this vulnerability is exploited, threads may be viewed or thread ownership may be obtained by an attacker who can log in to the product.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
漏洞标题
Chainlit 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Chainlit是chainlit开源的一个大模型对话界面框架。 Chainlit 2.8.5之前版本存在安全漏洞,该漏洞源于存在通过用户控制密钥的授权绕过,可能导致攻击者登录后查看线程或获取线程所有权。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-68492 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-68492 的情报信息

  • 标题: JVN#34964581: Chainlit vulnerable to improper access restriction -- 🔗来源链接

    标签:

    神龙速读:
                                            - **漏洞编号**: JVN#34964581
- **漏洞名称**: Chainlit vulnerable to improper access restriction
- **漏洞描述**: 
  - Chainlit 存在不当访问控制漏洞,允许通过用户控制的密钥绕过授权 (CWE-639)
- **CVSS评分**:
  - **CVSS 4.0**: AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N Base Score 2.3
  - **CVSS 3.0**: AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N Base Score 4.2
- **CVE编号**: CVE-2025-68492
- **受影响产品**: Chainlit 版本 2.8.5 之前的版本
- **影响**: 攻击者可能通过登录产品查看线程或获得线程所有权
- **解决方案**: 更新软件到最新版本
- **厂商状态**: 链接提供给 Chainlit
- **参考**:
  - JPCERT/CC Addendum
  - Vulnerability Analysis by JPCERT/CC
- **其他信息**:
  - JPCERT Alert
  - JPCERT Reports
  - CERT Advisory
  - CPNI Advisory
  - TRnotes
- **漏洞发现者**: Shohtaro Kimura of NRI SecureTechnologies, Ltd.
- **漏洞报告者**: IPA
- **协调者**: JPCERT/CC
- **发布时间**: 2026/01/14
    JVN#34964581: Chainlit vulnerable to improper access restriction

  • 标题: Releases · Chainlit/chainlit -- 🔗来源链接

    标签:

    神龙速读:
                                            ## 关键漏洞信息

### 版本 2.9.4
- **安全漏洞修复**: 安全漏洞修复由@asvishnyakov在#2737中完成。

### 版本 2.8.5
- **安全漏洞修复**: 修复了一个低严重性的安全漏洞(#2638),该漏洞需要攻击者知道线程ID且已经是Chainlit应用中的注册用户。

### 版本 2.9.3
- **安全相关更新**: 包含多个测试和修复,但未明确指出具体的安全漏洞信息。

### 版本 2.9.2 和 2.9.1
- **测试和修复**: 多个测试和修复,但未提及具体的安全漏洞信息。
```

这些版本的更新主要集中在功能添加、测试和修复上,其中版本2.9.4和2.8.5明确提到了安全漏洞的修复。
    Releases · Chainlit/chainlit
  • https://nvd.nist.gov/vuln/detail/CVE-2025-68492
四、漏洞 CVE-2025-68492 的评论
匿名用户
2026-01-15 06:08:25

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论