Plataforma
nodejs
Componente
@lobehub/chat
Corregido en
1.136.3
1.136.2
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en la biblioteca @lobehub/chat. Esta vulnerabilidad permite a un atacante enviar una matriz de URLs arbitrarias a la API tools.search.crawlPages, lo que resulta en solicitudes HTTP salientes directas a esas URLs. La vulnerabilidad afecta a versiones anteriores a 1.136.2 y se recomienda actualizar a la versión corregida para mitigar el riesgo. La solución implica validar las URLs antes de realizar las solicitudes.
La vulnerabilidad SSRF en @lobehub/chat permite a un atacante explotar la funcionalidad de rastreo de páginas para realizar solicitudes HTTP arbitrarias. Esto significa que un atacante podría, por ejemplo, escanear puertos internos, acceder a metadatos de instancias de computación en la nube (como AWS metadata endpoints en 169.254.169.254) o incluso interactuar con servicios internos que no están expuestos directamente a Internet. La falta de validación de URLs permite el acceso a recursos internos, lo que podría comprometer la confidencialidad, integridad o disponibilidad de los sistemas internos. Un atacante podría, en teoría, utilizar esta vulnerabilidad para obtener información sensible o incluso ejecutar código en sistemas internos si estos servicios son vulnerables.
La vulnerabilidad CVE-2025-62505 se publicó el 17 de octubre de 2025. No se ha añadido a KEV en este momento. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario para enviar las URLs maliciosas. No se han reportado públicamente pruebas de concepto (PoCs) activas, pero la naturaleza de la vulnerabilidad SSRF la hace potencialmente explotable. Se recomienda monitorear la actividad de la red y los registros de la aplicación en busca de patrones sospechosos.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la biblioteca @lobehub/chat a la versión 1.136.2 o posterior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las URLs proporcionadas por el cliente antes de realizar cualquier solicitud HTTP. Esto puede incluir una lista blanca de dominios permitidos, la validación del formato de la URL y la prevención de solicitudes a direcciones IP privadas o endpoints de metadatos. Además, se recomienda configurar un Web Application Firewall (WAF) para bloquear solicitudes sospechosas. Verifique la actualización ejecutando npm install @lobehub/chat@latest y confirmando la versión instalada con npm list @lobehub/chat.
Actualice LobeChat a la versión 1.136.2 o superior. Esta versión corrige la vulnerabilidad SSRF en el módulo de web fetch nativo. No existen soluciones alternativas conocidas, por lo que la actualización es la única forma de mitigar el riesgo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-62505 is a Server-Side Request Forgery (SSRF) vulnerability in the @lobehub/chat component, allowing attackers to make HTTP requests to arbitrary URLs. This can expose internal resources.
You are affected if you are using @lobehub/chat versions prior to 1.136.2. Assess your dependencies to determine if you are vulnerable.
Upgrade to version 1.136.2 or later of @lobehub/chat. As a temporary workaround, implement a WAF to block outbound requests to internal IPs.
There are currently no reports of active exploitation, but the vulnerability's nature makes it potentially exploitable.
Refer to the @lobehub/chat project's release notes and security advisories on their official repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.