Plateforme
nodejs
Composant
@lobehub/chat
Corrigé dans
1.19.14
1.19.13
La vulnérabilité CVE-2024-32965 est une faille de type SSRF (Server-Side Request Forgery) affectant la bibliothèque @lobehub/chat. Cette faille permet à un attaquant de lancer des requêtes malveillantes sans authentification, compromettant potentiellement des services internes et exposant des données sensibles. Elle concerne les versions de @lobehub/chat antérieures à 1.19.13 et une correction est disponible.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles d'accès et d'effectuer des requêtes vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des bases de données, des serveurs d'administration ou d'autres services critiques. L'attaquant peut ainsi exfiltrer des informations confidentielles, modifier des données ou même compromettre l'ensemble du système. La possibilité de contourner l'authentification rend cette vulnérabilité particulièrement préoccupante, car elle facilite l'accès non autorisé aux ressources internes.
La vulnérabilité CVE-2024-32965 a été rendue publique le 26 novembre 2024. Un proof-of-concept (POC) est disponible, ce qui augmente le risque d'exploitation. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation et de la disponibilité du POC. Il n'y a pas d'indications d'exploitation active à ce jour, mais la vulnérabilité a été ajoutée au catalogue KEV de CISA.
Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.
• nodejs / server:
ps aux | grep @lobehub/chat• nodejs / server:
npm list @lobehub/chat• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.
disclosure
Statut de l'Exploit
EPSS
0.16% (percentile 36%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque @lobehub/chat vers la version 1.19.13 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes suspectes. Il est également recommandé de limiter l'accès aux services internes et de renforcer l'authentification pour réduire la surface d'attaque. Vérifiez après la mise à jour que la nouvelle version est correctement installée et que les requêtes vers des ressources internes sont correctement filtrées.
Mettez à jour Lobe Chat à la version 1.19.13 ou supérieure. Cette version corrige la vulnérabilité SSRF qui permet aux attaquants de faire des requêtes non autorisées et d'accéder à des informations sensibles. La mise à jour est la seule solution connue.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-32965 est une vulnérabilité SSRF dans la bibliothèque @lobehub/chat, permettant à un attaquant de lancer des requêtes vers des ressources internes sans authentification.
Vous êtes affecté si vous utilisez une version de @lobehub/chat antérieure à 1.19.13.
Mettez à jour @lobehub/chat vers la version 1.19.13 ou supérieure. En attendant, configurez un WAF pour bloquer les requêtes suspectes.
Il n'y a pas d'indications d'exploitation active à ce jour, mais la vulnérabilité est publique et un POC est disponible, ce qui augmente le risque.
Consultez la documentation officielle de @lobehub/chat et les canaux de communication de la communauté pour obtenir les dernières informations et les conseils de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.