HIGHCVE-2024-11603CVSS 7.5

FastChat サーバーサイドリクエストフォージェリ脆弱性

プラットフォーム

python

コンポーネント

fschat

修正版

0.2.37

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-11603は、lm-sys/fastchatのバージョン0.2.36以前に存在するServer-Side Request Forgery (SSRF) 脆弱性です。この脆弱性は、/queue/join?エンドポイントにおけるパスパラメータの検証不備に起因し、攻撃者が内部ネットワークやAWSメタデータエンドポイントへのアクセスを試みることが可能となります。影響を受けるバージョンは0.2.36以前であり、迅速な対応が必要です。最新バージョンへのアップデートを推奨します。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者はfastchatサーバーを介して内部ネットワーク上のリソースにアクセスしたり、AWSメタデータエンドポイントから機密情報を窃取したりする可能性があります。例えば、内部データベースへのアクセス、機密情報の漏洩、さらには内部サーバーの制御奪取といった深刻な被害につながる可能性があります。AWSメタデータエンドポイントへのアクセスは、クラウド環境における認証情報の漏洩や、他のAWSリソースへの不正アクセスを許す危険性があります。この脆弱性は、内部ネットワークの境界を突破し、攻撃対象領域を拡大させる可能性があります。

悪用の状況

CVE-2024-11603は、2025年3月20日に公開されました。現時点では、KEV（CISA Known Exploited Vulnerabilities）には登録されていません。公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。NVD（National Vulnerability Database）の情報も参照し、最新の動向を注視してください。

リスク対象者翻訳中…

Organizations deploying fastchat for language model serving, particularly those running on AWS infrastructure, are at significant risk. Shared hosting environments where fastchat instances share network access with other tenants are also particularly vulnerable, as a successful SSRF attack could potentially compromise other services on the same host.

検出手順翻訳中…

• python / server:

import requests
import urllib.parse

def check_ssrf(url):
    try:
        parsed_url = urllib.parse.urlparse(url)
        if parsed_url.scheme in ('http', 'https'):
            response = requests.get(url, timeout=5)
            print(f"URL: {url}, Status Code: {response.status_code}")
        else:
            print(f"Invalid URL scheme: {url}")
    except requests.exceptions.RequestException as e:
        print(f"Error accessing {url}: {e}")

# Example usage - check AWS metadata endpoint
check_ssrf('http://169.254.169.254/latest/meta-data/iam/security-credentials/')

• generic web:

curl -I 'http://your-fastchat-server/queue/join?path=http://169.254.169.254/latest/meta-data/iam/security-credentials/'

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.15% (35% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントfschat

ベンダーosv

影響範囲修正版

unspecified – latest—

0.2.360.2.37

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-11-21
公開日2025-03-20
更新日2025-03-21
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

この脆弱性への対応として、まず、fastchatをバージョン0.2.37以降にアップデートすることを強く推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、/queue/join?エンドポイントへの不正なリクエストをブロックするルールを設定してください。また、AWS環境においては、IAMロールの適切な設定や、ネットワークACLによるアクセス制限など、セキュリティ対策を強化することで、被害を最小限に抑えることが可能です。アップデート後、/queue/join?エンドポイントへのアクセスを検証し、意図しないリクエストが送信されていないことを確認してください。

修正方法

fastchat ライブラリを SSRF 脆弱性を修正した 0.2.36 後のバージョンにアップデートしてください。修正の詳細については、リリースノートまたは変更ログを参照してください。修正されたバージョンが利用できない場合は、`/queue/join?` エンドポイントで入力の検証とサニタイズを実装して、SSRF のリスクを軽減することを検討してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-11603 — SSRF in fastchatとは何ですか？

CVE-2024-11603は、fastchatのバージョン0.2.36以前に存在するServer-Side Request Forgery (SSRF) 脆弱性です。攻撃者はこの脆弱性を悪用し、内部ネットワークへの不正アクセスやAWSメタデータエンドポイントへのアクセスを試行できます。

CVE-2024-11603 in fastchatの影響はありますか？

はい、fastchatのバージョン0.2.36以前を使用している場合、この脆弱性により内部ネットワークへの不正アクセスや機密情報の漏洩のリスクがあります。

CVE-2024-11603 in fastchatを修正するにはどうすればよいですか？

fastchatをバージョン0.2.37以降にアップデートすることを強く推奨します。アップデートが困難な場合は、WAFを導入するなど、セキュリティ対策を強化してください。

CVE-2024-11603は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性は一般的に悪用が容易であるため、注意が必要です。

CVE-2024-11603に関するfastchatの公式アドバイザリはどこで入手できますか？

lm-sys/fastchatのGitHubリポジトリを参照してください。https://github.com/lm-sys/fastchat