Plataforma
nodejs
Componente
@lobehub/chat
Corregido en
1.19.14
1.19.13
La vulnerabilidad CVE-2024-32965 es una falla de tipo SSRF (Server-Side Request Forgery) presente en la biblioteca @lobehub/chat, versiones anteriores a 1.19.13. Esta falla permite a un atacante, sin necesidad de autenticación, realizar solicitudes maliciosas al servidor, potencialmente accediendo a servicios internos y filtrando información sensible. La actualización a la versión 1.19.13 soluciona esta vulnerabilidad.
Un atacante que explote esta vulnerabilidad SSRF puede realizar solicitudes a través del servidor @lobehub/chat, como si provinieran de él. Esto permite el acceso a servicios internos que normalmente no estarían expuestos a la red externa. Por ejemplo, un atacante podría intentar acceder a bases de datos internas, paneles de administración o APIs de servicios internos. La información sensible filtrada podría incluir credenciales, datos de configuración, o información personal de los usuarios. El ataque se realiza modificando la dirección del proxy en la configuración de OpenAI, permitiendo la ejecución de solicitudes a destinos arbitrarios.
La vulnerabilidad fue publicada el 26 de noviembre de 2024. No se ha reportado su inclusión en el KEV de CISA. No se han identificado públicamente campañas de explotación activas, pero la disponibilidad de la descripción del ataque facilita su replicación. La falta de autenticación necesaria para la explotación aumenta la probabilidad de su uso.
Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.
• nodejs / server:
ps aux | grep @lobehub/chat• nodejs / server:
npm list @lobehub/chat• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.
disclosure
Estado del Exploit
EPSS
0.16% (36% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-32965 es actualizar la biblioteca @lobehub/chat a la versión 1.19.13 o superior. Si la actualización causa problemas de compatibilidad, considere implementar reglas en un proxy inverso o firewall de aplicaciones web (WAF) para bloquear solicitudes a direcciones IP internas o patrones de URL sospechosos. Monitoree los registros del servidor en busca de solicitudes inusuales o intentos de acceso a recursos internos. Implemente una validación estricta de las direcciones URL proporcionadas por el usuario para prevenir la inyección de direcciones maliciosas.
Actualice Lobe Chat a la versión 1.19.13 o superior. Esta versión corrige la vulnerabilidad SSRF que permite a atacantes realizar solicitudes no autorizadas y acceder a información sensible. La actualización es la única solución conocida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-32965 es una vulnerabilidad SSRF en la biblioteca @lobehub/chat, que permite a atacantes acceder a servicios internos sin autenticación.
Si está utilizando una versión de @lobehub/chat anterior a 1.19.13, es vulnerable a esta falla. Actualice inmediatamente.
Actualice la biblioteca @lobehub/chat a la versión 1.19.13 o superior. Implemente reglas en un WAF para mitigar el riesgo si la actualización no es posible.
Aunque no se han reportado campañas activas, la facilidad de explotación aumenta la probabilidad de que sea utilizada.
Consulte el repositorio oficial de @lobehub/chat en GitHub para obtener información y actualizaciones sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.