Plateforme
nodejs
Composant
@lobehub/chat
Corrigé dans
1.19.14
1.19.13
La vulnérabilité CVE-2024-47066 est une faille de Server-Side Request Forgery (SSRF) découverte dans la bibliothèque @lobehub/chat. Cette faille permet à un attaquant de contourner la protection SSRF en exploitant des redirections malveillantes, lui donnant potentiellement accès à des ressources internes. Elle affecte les versions de @lobehub/chat antérieures à 1.19.13. Une mise à jour vers la version 1.19.13 est disponible pour corriger cette vulnérabilité.
Un attaquant exploitant cette vulnérabilité peut initier des requêtes vers des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. Cela peut inclure l'accès à des informations sensibles stockées sur des serveurs internes, l'exécution de commandes sur des systèmes vulnérables, ou même le compromis de l'ensemble du réseau. Le contournement de la protection SSRF rend l'exploitation plus facile et augmente considérablement la surface d'attaque. L'attaquant pourrait, par exemple, accéder à des informations de configuration, des clés API, ou des données sensibles stockées sur des bases de données internes. La capacité de lancer des requêtes arbitraires vers l'intérieur du réseau ouvre la porte à des attaques de reconnaissance et d'escalade de privilèges.
Cette vulnérabilité a été rendue publique le 23 septembre 2024. Un Proof of Concept (PoC) a été publié, ce qui augmente la probabilité d'exploitation. Bien qu'il n'y ait pas de confirmation d'exploitation active à ce jour, la sévérité élevée (CVSS 9.0) et la disponibilité d'un PoC indiquent un risque élevé. Cette vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
Organizations deploying @lobehub/chat in production environments, particularly those that rely on it for proxying external requests, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's application.
• nodejs / server:
grep -r 'https://github.com/lobehub/lobe-chat/blob/main/src/app/api/proxy/route.ts' . • generic web:
curl -I <lobehub/chat endpoint> | grep 'Location:'disclosure
poc
patch
Statut de l'Exploit
EPSS
5.78% (percentile 90%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque @lobehub/chat vers la version 1.19.13 ou supérieure, qui corrige la vulnérabilité. En attendant la mise à jour, des mesures temporaires peuvent être prises. Il est recommandé de configurer un pare-feu pour bloquer les requêtes sortantes vers des adresses IP internes ou des plages d'adresses IP suspectes. L'utilisation d'un proxy inverse avec une validation stricte des redirections peut également aider à atténuer le risque. Surveillez attentivement les journaux d'accès pour détecter des requêtes suspectes vers des ressources internes. Après la mise à jour, vérifiez que la protection SSRF est correctement implémentée en testant avec des URL malveillantes contenant des redirections.
Mettez à jour Lobe Chat à la version 1.19.13 ou supérieure. Cette version contient une correction pour la vulnérabilité Server-Side Request Forgery (SSRF). La mise à jour atténuera le risque qu'un attaquant puisse accéder à des ressources internes via des redirections malveillantes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-47066 is a critical SSRF vulnerability in the @lobehub/chat component, allowing attackers to bypass SSRF protections and access internal resources.
You are affected if you are using a version of @lobehub/chat prior to 1.19.13.
Upgrade to version 1.19.13 or later. Consider implementing a WAF to filter malicious URLs as an interim measure.
While not confirmed, the availability of a public PoC increases the likelihood of exploitation, so proactive mitigation is recommended.
Refer to the official GitHub repository for @lobehub/chat for updates and advisories: https://github.com/lobehub/lobe-chat
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.