HIGHCVE-2024-12376CVSS 7.5

FastChat サーバーサイドリクエストフォージェリ脆弱性

プラットフォーム

python

コンポーネント

fschat

修正版

0.2.37

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-12376は、lm-sys/fastchat Web Serverにおけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。この脆弱性により、攻撃者は本来アクセスできない内部サーバーリソースや機密データにアクセスできる可能性があります。影響を受けるバージョンは0.2.36以下です。バージョン0.2.37へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がfastchat Web Serverがアクセスできる内部ネットワークリソースをスキャンし、不正にアクセスすることを可能にします。特に、AWSメタデータ認証情報が漏洩した場合、攻撃者はAWS環境内で横展開を行い、機密データへのアクセスやシステム制御の奪取を試みる可能性があります。この脆弱性の悪用は、機密情報の漏洩、システムの改ざん、さらには完全なシステム制御の喪失につながる可能性があります。類似のSSRF脆弱性は、内部ネットワークへの不正アクセスや、クラウド環境における機密情報の漏洩に繋がるリスクが指摘されています。

悪用の状況

この脆弱性は、2025年3月20日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。公的なPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性は一般的に悪用が容易であり、今後、攻撃キャンペーンの標的となる可能性があります。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の脅威動向を把握することが重要です。

リスク対象者翻訳中…

Organizations deploying fastchat within AWS environments are particularly at risk due to the potential for credential theft. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users. Any deployment relying on fastchat for internal communication or data processing is potentially at risk.

検出手順翻訳中…

• python / server:

# Check for vulnerable versions
python -c 'import fastchat; print(fastchat.__version__)'

• generic web:

# Attempt to trigger SSRF by requesting an internal resource
curl http://<fastchat_server>/.well-known/server-status

• generic web:

# Check response headers for unusual origins
curl -I http://<fastchat_server> | grep 'Origin:'

攻撃タイムライン

2025-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.12% (32% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントfschat

ベンダーosv

影響範囲修正版

unspecified – latest—

0.2.360.2.37

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-12-09
公開日2025-03-20
更新日2025-03-21
EPSS 更新日2026-04-02

未パッチ — 公開から430日経過

緩和策と回避策

まず、fastchat Web Serverをバージョン0.2.37にアップデートすることを推奨します。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定してください。また、内部ネットワークへのアクセス制限を強化し、不要なポートやサービスを停止することで、攻撃対象領域を縮小できます。AWS環境では、IAMロールの適切な設定と、メタデータAPIへのアクセス制限を徹底してください。アップデート後、fastchat Web Serverのログを監視し、不正なリクエストがないか確認することで、脆弱性の悪用を早期に発見できます。

修正方法

fastchat ライブラリを最新バージョンにアップデートしてください。これにより、SSRF 脆弱性に対する修正が含まれるはずです。詳細については、リリースノートまたは変更ログを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-12376 — SSRF in fastchat Web Serverとは何ですか？

CVE-2024-12376は、fastchat Web Server (バージョン0.2.36以下)におけるサーバーサイドリクエストフォージェリ(SSRF)脆弱性です。攻撃者は内部サーバーリソースに不正にアクセスできる可能性があります。

CVE-2024-12376 in fastchat Web Serverの影響はありますか？

fastchat Web Serverのバージョンが0.2.36以下の場合、影響を受ける可能性があります。内部リソースへの不正アクセスや機密情報の漏洩のリスクがあります。

CVE-2024-12376 in fastchat Web Serverを修正するにはどうすればよいですか？

fastchat Web Serverをバージョン0.2.37にアップデートすることを推奨します。アップデートが困難な場合は、WAFなどのセキュリティ対策を導入してください。

CVE-2024-12376は積極的に悪用されていますか？

現時点では公的なPoCは確認されていませんが、SSRF脆弱性は悪用が容易であり、今後悪用される可能性があります。

CVE-2024-12376に関するfastchatの公式アドバイザリはどこで入手できますか？

fastchatの公式アドバイザリは、lm-sys/fastchatのGitHubリポジトリで確認できます。https://github.com/lm-sys/fastchat