प्लेटफ़ॉर्म
python
घटक
lm-sys/fastchat
CVE-2024-10044 एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो lm-sys/fastchat के Controller API Server में पाई गई है। यह भेद्यता हमलावरों को अनधिकृत वेब क्रियाएं करने या अनधिकृत वेब संसाधनों तक पहुंचने की अनुमति देती है, जिससे संभावित रूप से डेटा का समझौता हो सकता है। यह भेद्यता fastchat के सभी संस्करणों को प्रभावित करती है। नवीनतम संस्करण में अपग्रेड करके इस भेद्यता को ठीक किया जा सकता है।
यह SSRF भेद्यता हमलावरों को fastchat Controller API Server के क्रेडेंशियल्स का उपयोग करके अनधिकृत वेब क्रियाएं करने या अनधिकृत वेब संसाधनों तक पहुंचने की अनुमति देती है। एक हमलावर /workergeneratestream API एंडपॉइंट और /register_worker एंडपॉइंट को जोड़कर ऐसा कर सकता है। इससे संवेदनशील डेटा का खुलासा हो सकता है, आंतरिक सेवाओं तक अनधिकृत पहुंच हो सकती है, या यहां तक कि सिस्टम पर नियंत्रण भी प्राप्त हो सकता है। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह हमलावरों को आंतरिक नेटवर्क में प्रवेश करने और आगे बढ़ने की अनुमति दे सकती है। यह Log4Shell जैसी शोषण पैटर्न के समान है, जहां एक भेद्यता का उपयोग आंतरिक संसाधनों तक पहुंचने के लिए किया जा सकता है।
CVE-2024-10044 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर अभी तक उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन सक्रिय शोषण के बारे में कोई जानकारी नहीं है। यह भेद्यता 2024-12-30 को प्रकाशित हुई थी।
Organizations deploying lm-sys/fastchat for large language model serving, particularly those with exposed Controller API Servers, are at significant risk. This includes research labs, AI development teams, and any environment where fastchat is used to manage and orchestrate language models. Shared hosting environments where multiple users share the same fastchat instance are also particularly vulnerable.
• python / server: Monitor outbound network traffic from the fastchat Controller API Server for unexpected destinations. Use tools like tcpdump or Wireshark to capture and analyze traffic.
tcpdump -i any -n port 80 or port 443 | grep -i 'example.com'• python / server: Examine fastchat logs for unusual requests to the /workergeneratestream and /register_worker endpoints. Look for requests with malformed URLs or unexpected parameters.
# Example log analysis (replace with your actual log parsing)
import re
with open('fastchat.log', 'r') as f:
for line in f:
if re.search(r'/worker_generate_stream.*(http://|https://)', line):
print(line)• generic web: Check for unusual outbound connections from the fastchat server using ss or netstat.
ss -t -a | grep fastchatdisclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.16% (37% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-10044 को कम करने का सबसे प्रभावी तरीका fastchat के नवीनतम संस्करण में अपग्रेड करना है, जिसमें इस भेद्यता को ठीक किया गया है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके /workergeneratestream एंडपॉइंट पर आने वाले अनुरोधों को फ़िल्टर कर सकते हैं, ताकि केवल विश्वसनीय स्रोतों से अनुरोधों को ही अनुमति दी जा सके। इसके अतिरिक्त, आप Controller API Server के लिए नेटवर्क एक्सेस को प्रतिबंधित करने के लिए फ़ायरवॉल नियमों को कॉन्फ़िगर कर सकते हैं, ताकि यह केवल आवश्यक सेवाओं के साथ ही संवाद कर सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, /workergeneratestream एंडपॉइंट पर एक परीक्षण अनुरोध भेजकर सत्यापित करें।
lm-sys/fastchat लाइब्रेरी को e208d5677c6837d590b81cb03847c0b9de100765 से बाद के संस्करण में अपडेट करें। यह /worker_generate_stream एंडपॉइंट में SSRF भेद्यता को ठीक कर देगा। अपडेट के बारे में अधिक जानकारी के लिए रिलीज़ नोट्स देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-10044 fastchat के Controller API Server में पाई गई एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को अनधिकृत वेब क्रियाएं करने की अनुमति देती है।
यदि आप fastchat के किसी भी संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं। नवीनतम संस्करण में अपग्रेड करना आवश्यक है।
CVE-2024-10044 को ठीक करने का सबसे प्रभावी तरीका fastchat के नवीनतम संस्करण में अपग्रेड करना है।
सक्रिय शोषण के बारे में कोई जानकारी नहीं है, लेकिन सार्वजनिक PoC मौजूद हो सकते हैं।
आधिकारिक सलाहकार के लिए lm-sys/fastchat के रिपॉजिटरी की जांच करें या उनके वेबसाइट पर जाएं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।