प्लेटफ़ॉर्म
nodejs
घटक
@lobehub/chat
में ठीक किया गया
1.19.14
1.19.13
CVE-2024-32965 @lobehub/chat में एक अनधिकृत सर्वर-साइड रिक्वेस्ट फोर्जिंग (SSRF) भेद्यता है। यह भेद्यता हमलावरों को बिना प्रमाणीकरण के दुर्भावनापूर्ण अनुरोधों को तैयार करने और आंतरिक सेवाओं पर हमला करने की अनुमति देती है, जिससे संवेदनशील जानकारी का खुलासा हो सकता है। यह भेद्यता @lobehub/chat के संस्करण 1.19.13 से पहले के संस्करणों को प्रभावित करती है। संस्करण 1.19.13 में इस समस्या का समाधान किया गया है।
इस SSRF भेद्यता का शोषण करने वाला एक हमलावर आंतरिक नेटवर्क संसाधनों तक पहुँच प्राप्त कर सकता है जो सार्वजनिक रूप से सुलभ नहीं हैं। वे आंतरिक सेवाओं को स्कैन कर सकते हैं, संवेदनशील डेटा निकाल सकते हैं, या अन्य आंतरिक प्रणालियों पर हमला करने के लिए इस भेद्यता का उपयोग कर सकते हैं। हमलावर आंतरिक सेवाओं के साथ बातचीत करने के लिए @lobehub/chat एप्लिकेशन को एक प्रॉक्सी के रूप में उपयोग कर सकते हैं, जिससे वे फ़ायरवॉल या अन्य सुरक्षा उपायों को बायपास कर सकते हैं। उदाहरण के लिए, एक हमलावर आंतरिक डेटाबेस या प्रबंधन इंटरफेस तक पहुँच प्राप्त कर सकता है, जिससे डेटा उल्लंघन या सिस्टम समझौता हो सकता है।
CVE-2024-32965 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं। हालाँकि, भेद्यता सार्वजनिक रूप से ज्ञात है और एक प्रूफ-ऑफ-कॉन्सेप्ट (PoC) उपलब्ध है, इसलिए शोषण का जोखिम बना हुआ है। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। NVD (National Vulnerability Database) ने 2024-11-26 को इस भेद्यता को प्रकाशित किया।
Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.
• nodejs / server:
ps aux | grep @lobehub/chat• nodejs / server:
npm list @lobehub/chat• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.16% (36% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-32965 के प्रभाव को कम करने के लिए, @lobehub/chat को संस्करण 1.19.13 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को कॉन्फ़िगर किया जा सकता है ताकि SSRF हमलों को ब्लॉक किया जा सके। WAF को विशिष्ट URL पैटर्न या हेडर को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जो SSRF हमलों से जुड़े हैं। इसके अतिरिक्त, आंतरिक सेवाओं को सार्वजनिक नेटवर्क से एक्सेस करने से बचना चाहिए। यदि आंतरिक सेवाओं को सार्वजनिक रूप से एक्सेस करने की आवश्यकता है, तो उन्हें फ़ायरवॉल या अन्य सुरक्षा उपायों के पीछे रखा जाना चाहिए।
Lobe Chat को संस्करण 1.19.13 या उच्चतर में अपडेट करें। यह संस्करण एसएसआरएफ (SSRF) भेद्यता को ठीक करता है जो हमलावरों को अनधिकृत अनुरोध करने और संवेदनशील जानकारी तक पहुंचने की अनुमति देता है। अपडेट ही ज्ञात एकमात्र समाधान है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-32965 @lobehub/chat में एक SSRF भेद्यता है जो हमलावरों को आंतरिक सेवाओं पर हमला करने और संवेदनशील जानकारी लीक करने की अनुमति देती है।
यदि आप @lobehub/chat के संस्करण 1.19.13 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
@lobehub/chat को संस्करण 1.19.13 या बाद के संस्करण में तुरंत अपडेट करें।
CVE-2024-32965 को अभी तक सक्रिय रूप से शोषण करने के कोई संकेत नहीं मिले हैं, लेकिन शोषण का जोखिम बना हुआ है।
कृपया @lobehub/chat की वेबसाइट पर जाएँ या सुरक्षा अपडेट के लिए उनके GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।