Plateforme
python
Composant
fschat
Corrigé dans
0.2.37
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été identifiée dans le serveur web fschat, version 0.2.36 et antérieures. Cette faille permet à un attaquant d'effectuer des requêtes vers des ressources internes, contournant potentiellement les contrôles de sécurité et accédant à des données sensibles. L'impact principal réside dans la possibilité d'exfiltrer des informations confidentielles, notamment des identifiants AWS. La publication de cette vulnérabilité a eu lieu le 20 mars 2025.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de lancer des requêtes HTTP depuis le serveur fschat vers n'importe quelle destination accessible par le serveur. Dans le cas spécifique de fschat, cela inclut la possibilité d'accéder aux métadonnées AWS, qui peuvent contenir des clés d'accès et d'autres informations d'identification sensibles. Un attaquant pourrait utiliser ces informations pour compromettre des ressources AWS associées, telles que des instances EC2, des bases de données RDS ou des buckets S3. La surface d'attaque est donc significative, car elle permet un accès non autorisé à l'infrastructure cloud sous-jacente. Cette vulnérabilité présente des similitudes avec d'autres attaques SSRF où l'attaquant exploite la capacité du serveur à effectuer des requêtes pour accéder à des ressources internes.
Cette vulnérabilité a été publiée le 20 mars 2025. Il n'y a pas d'indication qu'elle soit actuellement activement exploitée, mais la nature de SSRF la rend potentiellement dangereuse. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite une certaine connaissance de l'infrastructure cible. Aucun ajout au catalogue KEV de CISA n'est connu à ce jour. Des preuves de concept (PoC) publiques pourraient émerger, augmentant ainsi le risque d'exploitation.
Organizations deploying fastchat within AWS environments are particularly at risk due to the potential for credential theft. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users. Any deployment relying on fastchat for internal communication or data processing is potentially at risk.
• python / server:
# Check for vulnerable versions
python -c 'import fastchat; print(fastchat.__version__)'• generic web:
# Attempt to trigger SSRF by requesting an internal resource
curl http://<fastchat_server>/.well-known/server-status• generic web:
# Check response headers for unusual origins
curl -I http://<fastchat_server> | grep 'Origin:'disclosure
Statut de l'Exploit
EPSS
0.12% (percentile 32%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour fschat vers une version corrigée dès que possible. En attendant la mise à jour, plusieurs mesures d'atténuation peuvent être appliquées. Il est crucial de restreindre les adresses IP et les ports auxquels le serveur fschat peut accéder. L'utilisation d'un pare-feu applicatif web (WAF) peut aider à bloquer les requêtes malveillantes. De plus, la configuration du serveur pour utiliser un réseau privé virtuel (VPN) peut limiter l'exposition aux attaques externes. Il est également recommandé de désactiver les fonctionnalités inutiles et de renforcer les contrôles d'accès. Après la mise à jour, vérifiez l'intégrité du système et assurez-vous que les nouvelles fonctionnalités sont correctement configurées.
Mettez à jour la bibliothèque fastchat vers la dernière version disponible. Cela devrait inclure la correction pour la vulnérabilité SSRF. Consultez les notes de version ou le journal des modifications pour plus de détails sur la correction.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-12376 décrit une vulnérabilité SSRF dans le serveur web fschat, permettant l'accès à des ressources internes. Le CVSS est de 7.5 (HAUTE).
Vous êtes affecté si vous utilisez fschat version 0.2.36 ou antérieure. Vérifiez votre version et mettez à jour si nécessaire.
La solution est de mettre à jour fschat vers une version corrigée. En attendant, appliquez des mesures d'atténuation comme la restriction des adresses IP.
Il n'y a pas d'indication d'exploitation active à ce jour, mais la vulnérabilité est potentiellement dangereuse.
Consultez le site web de lm-sys/fastchat ou le registre des vulnérabilités pour l'avis officiel.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.