Vulnerabilidad en lobe-chat de lobehub (CVE-2026-23522)

LobeChat es una plataforma de aplicación de chat de código abierto. Antes de la versión 2.0.0-next.193, el endpoint tRPC 'knowledgeBase.removeFilesFromKnowledgeBase' permite a los usuarios autenticados eliminar archivos de cualquier base de conocimiento sin verificar la propiedad. El filtro 'userId' en la consulta de la base de datos está comentado, lo que permite a los atacantes eliminar archivos de KB de otros usuarios si conocen el ID de la base de conocimiento y el ID del archivo. Aunque la vulnerabilidad está confirmada, la explotación práctica requiere conocer el ID de KB del objetivo y el ID del archivo del objetivo. Estos ID son aleatorios y no son fácilmente enumerables. Sin embargo, los ID pueden filtrarse a través de enlaces compartidos, registros, encabezados de referencia y demás. La falta de verificación de autorización es una falla de seguridad crítica de todos modos. Los usuarios deben actualizar a la versión 2.0.0-next.193 para recibir un parche.