CVE-2026-54030

LibreChat: Missing Resource Parameter Validation in MCP OAuth Flow

CVSS 8 HIGHEPSS 0.1%CWE-346

Vexday Risk Score

21Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 8EPSS 0.1%KEV nãoPoC —Patch —

Ciclo de vida

25 jun 2026Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

LibreChat is an enhanced ChatGPT clone that supports multiple AI providers. Prior to 0.8.5, LibreChat's MCP OAuth implementation does not validate that the resource parameter from OAuth Protected Resource metadata (RFC 9728) matches the configured MCP server URL, allowing a malicious MCP server to steal access tokens intended for a legitimate server. This vulnerability is fixed in 0.8.5.

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N

Productos afectados

danny-avila · LibreChat

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/danny-avila/LibreChat/security/advisories/GHSA-gvpj-vm2f-2m23