Plateforme
nodejs
Composant
@lobehub/chat
Corrigé dans
0.150.6
0.150.6
La vulnérabilité CVE-2024-32964 est une faille SSRF (Server-Side Request Forgery) critique découverte dans la bibliothèque @lobehub/chat, affectant les versions antérieures à 0.150.6. Un attaquant non authentifié peut exploiter cette faille pour formuler des requêtes malveillantes via l'API de proxy, compromettant potentiellement les services internes et divulguant des informations sensibles. La mise à jour vers la version 0.150.6 corrige cette vulnérabilité.
Cette vulnérabilité SSRF permet à un attaquant d'effectuer des requêtes vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. En exploitant l'API de proxy de @lobehub/chat, un attaquant peut interagir avec des services internes, potentiellement en contournant les mesures de sécurité et en accédant à des données sensibles. Le risque est aggravé par le fait que l'exploitation ne nécessite aucune authentification, ce qui rend la surface d'attaque très large. Les informations divulguées pourraient inclure des données de configuration, des clés API, ou d'autres informations confidentielles stockées sur le réseau interne. Un attaquant pourrait également utiliser cette faille pour lancer des attaques contre d'autres systèmes internes, élargissant ainsi le rayon d'impact de la vulnérabilité.
Cette vulnérabilité a été rendue publique le 10 mai 2024. Bien qu'il n'y ait pas d'indication d'exploitation active à grande échelle, la simplicité de l'exploitation et l'absence d'authentification rendent cette vulnérabilité particulièrement préoccupante. Un Proof of Concept (PoC) a été publié, ce qui facilite l'exploitation par des acteurs malveillants. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité suspecte.
Organizations utilizing @lobehub/chat in their applications, particularly those with internal services exposed via APIs, are at risk. Environments with weak network segmentation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted if one user's application is compromised.
• nodejs / server:
ps aux | grep @lobehub/chat
npm list @lobehub/chat• generic web:
curl -I https://your-chat-domain.com/api/proxy
# Look for unexpected internal IP addresses or hostnames in the response headersdisclosure
Statut de l'Exploit
EPSS
72.72% (percentile 99%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque @lobehub/chat vers la version 0.150.6 ou supérieure, qui corrige la vulnérabilité SSRF. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de configurer un pare-feu ou un proxy inverse pour restreindre les requêtes sortantes de l'application @lobehub/chat, en limitant l'accès aux adresses IP et aux ports autorisés. L'implémentation de règles WAF (Web Application Firewall) peut également aider à bloquer les requêtes malveillantes. Surveillez attentivement les journaux d'accès et d'erreur pour détecter toute activité suspecte, en particulier les requêtes vers des adresses IP internes ou des ports inhabituels. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en effectuant des tests de pénétration ciblés sur l'API de proxy.
Mettez à jour Lobe Chat à la version 0.150.6 ou supérieure. Cette version corrige la vulnérabilité de Falsification de Requête Côté Serveur (SSRF) dans l'endpoint `/api/proxy`. La mise à jour empêchera les attaquants de réaliser des requêtes non autorisées vers des services internes et d'accéder à des informations sensibles.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-32964 est une vulnérabilité SSRF critique dans la bibliothèque @lobehub/chat, permettant à un attaquant d'accéder à des services internes sans authentification.
Vous êtes affecté si vous utilisez une version de @lobehub/chat antérieure à 0.150.6.
Mettez à jour @lobehub/chat vers la version 0.150.6 ou supérieure. En attendant, configurez un pare-feu ou un proxy pour restreindre les requêtes sortantes.
Bien qu'il n'y ait pas de confirmation d'exploitation active, la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
Consultez le dépôt GitHub de @lobehub/chat pour les informations officielles et les notes de version : https://github.com/lobehub/lobe-chat
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.