प्लेटफ़ॉर्म
python
घटक
fschat
में ठीक किया गया
0.2.37
CVE-2024-12376 एक गंभीर सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो lm-sys/fastchat वेब सर्वर को प्रभावित करती है। यह भेद्यता हमलावरों को आंतरिक सर्वर संसाधनों और डेटा तक पहुंचने की अनुमति देती है जो अन्यथा दुर्गम हैं, जैसे कि AWS मेटाडेटा क्रेडेंशियल। यह भेद्यता fastchat के संस्करणों 0.2.36 और उससे पहले को प्रभावित करती है। इस समस्या को हल करने के लिए, नवीनतम संस्करण में अपग्रेड करने की अनुशंसा की जाती है।
SSRF भेद्यता के कारण, एक हमलावर आंतरिक सेवाओं और संसाधनों तक अनधिकृत पहुंच प्राप्त कर सकता है। इस मामले में, हमलावर AWS मेटाडेटा क्रेडेंशियल तक पहुंच सकता है, जिससे उन्हें क्लाउड वातावरण में संवेदनशील डेटा तक पहुंच प्राप्त हो सकती है या संसाधनों को नियंत्रित किया जा सकता है। हमलावर आंतरिक नेटवर्क को स्कैन करने, संवेदनशील डेटा को उजागर करने या अन्य आंतरिक प्रणालियों पर हमले शुरू करने के लिए इस भेद्यता का उपयोग कर सकते हैं। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहां fastchat का उपयोग AWS या अन्य क्लाउड सेवाओं के साथ एकीकृत किया जाता है।
CVE-2024-12376 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन SSRF भेद्यताएँ अक्सर शोषण योग्य होती हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकती है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशन तिथि 2025-03-20।
Organizations deploying fastchat within AWS environments are particularly at risk due to the potential for credential theft. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users. Any deployment relying on fastchat for internal communication or data processing is potentially at risk.
• python / server:
# Check for vulnerable versions
python -c 'import fastchat; print(fastchat.__version__)'• generic web:
# Attempt to trigger SSRF by requesting an internal resource
curl http://<fastchat_server>/.well-known/server-status• generic web:
# Check response headers for unusual origins
curl -I http://<fastchat_server> | grep 'Origin:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.12% (32% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-12376 को कम करने के लिए, fastchat को नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है जिसमें इस भेद्यता के लिए एक फिक्स शामिल है। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके SSRF हमलों को रोकने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। WAF नियमों को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो आंतरिक संसाधनों तक पहुंचने का प्रयास करते हैं। इसके अतिरिक्त, आंतरिक संसाधनों तक पहुंच को सीमित करने के लिए नेटवर्क सेगमेंटेशन और एक्सेस नियंत्रण नीतियों को लागू किया जाना चाहिए। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, आंतरिक संसाधनों तक अनधिकृत पहुंच की जांच करें।
fastchat लाइब्रेरी को नवीनतम उपलब्ध संस्करण में अपडेट करें। इसमें SSRF भेद्यता के लिए फिक्स शामिल होना चाहिए। फिक्स के बारे में अधिक जानकारी के लिए रिलीज़ नोट्स या परिवर्तन लॉग देखें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-12376 fastchat वेब सर्वर में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।
यदि आप fastchat के संस्करण 0.2.36 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2024-12376 को ठीक करने के लिए, fastchat को नवीनतम संस्करण में अपग्रेड करें या WAF नियमों का उपयोग करें।
CVE-2024-12376 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन SSRF भेद्यताएँ अक्सर शोषण योग्य होती हैं।
आधिकारिक fastchat सलाहकार के लिए lm-sys की वेबसाइट या GitHub रिपॉजिटरी की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।