A vulnerability was detected in chatchat-space Langchain-Chatchat up to 0.3.1.3. This vulnerability affects the function files/list_files/retrieve_file/retrieve_file_content/delete_file of the file libs/chatchat-server/chatchat/server/api_server/openai_routes.py of the component Compatible File Service. The manipulation results in missing authentication. The attacker must have access to the local network to execute the attack. The exploit is now public and may be used. The project was informed of the problem early through an issue report but has not responded yet.
CVE-2026-7844 is a missing authentication vulnerability in Langchain-Chatchat up to version 0.3.1.3 affecting file operations in the OpenAI routes component. An attacker with local network access can manipulate file operations without proper authentication.
يؤثر هذا الضعف على مكون خدمة الملفات المتوافق في Langchain-Chatchat حيث تفتقد وظائف إدارة الملفات (القائمة والاسترجاع والحذف) إلى آليات المصادقة الصحيحة. يمكن لأي مهاجم لديه وصول إلى الشبكة المحلية استغلال هذا الضعف للوصول إلى الملفات أو حذفها دون تفويض.
This vulnerability allows unauthenticated access to file operations in Langchain-Chatchat versions up to 0.3.1.3, requiring only local network access. The affected functions include file listing, retrieval, and deletion without proper authentication checks.
Upgrade Langchain-Chatchat to version 0.3.1.4 or later immediately. Implement network segmentation to restrict local network access to the API server. Add authentication middleware to all file operation endpoints. Review and audit access logs for unauthorized file operations.
قم بترقية Langchain-Chatchat إلى الإصدار 0.3.1.4 أو أحدث فوراً. طبق تقسيم الشبكة لتقييد الوصول إلى خادم API. أضف طبقة مصادقة لجميع نقاط نهاية عمليات الملفات. راجع سجلات الوصول للعمليات غير المصرح بها.