CRITICALCVE-2024-32964CVSS 9

lobe-chat `/api/proxy` エンドポイントにおけるサーバーサイドリクエストフォージェリ (Server-Side Request Forgery) の脆弱性

Q: CVE-2024-32964 — SSRF in @lobehub/chatとは何ですか？

CVE-2024-32964は、@lobehub/chatにおいて、認証なしでSSRF攻撃を可能にする脆弱性です。攻撃者は内部サービスを攻撃し、機密情報を漏洩させることが可能です。

Q: CVE-2024-32964 in @lobehub/chatの影響はありますか？

はい、@lobehub/chatのバージョン0.141.2以前を使用している場合、この脆弱性の影響を受けます。内部ネットワークへのアクセス制限を回避され、機密情報が漏洩する可能性があります。

Q: CVE-2024-32964 in @lobehub/chatを修正するにはどうすればよいですか？

@lobehub/chatをバージョン0.150.6にアップデートすることで修正できます。アップデートが難しい場合は、WAFの設定やファイアウォールルールの強化を検討してください。

Q: CVE-2024-32964は積極的に悪用されていますか？

現時点では、KEVカタログには登録されていませんが、公開されているPoCが存在するため、悪用されるリスクがあります。

Q: CVE-2024-32964に関する@lobehub/chatの公式アドバイザリはどこで入手できますか？

@lobehub/chatのGitHubリポジトリで、関連するIssueやPull Requestを確認してください: https://github.com/lobehub/lobe-chat

プラットフォーム

nodejs

コンポーネント

@lobehub/chat

修正版

0.150.6

AI Confidence: highNVDEPSS 72.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-32964は、@lobehub/chatにおいて、認証なしでSSRF（Server-Side Request Forgery）攻撃を可能にする重大な脆弱性です。攻撃者は悪意のあるリクエストを構築することで、内部サービスを攻撃し、機密情報を漏洩させることが可能です。この脆弱性は、@lobehub/chatのバージョン0.141.2以前に影響を与え、0.150.6へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者は認証なしで内部ネットワーク上のサービスにアクセスできるようになります。例えば、内部の管理コンソール、データベース、APIエンドポイントなどが攻撃対象となる可能性があります。攻撃者は、これらのサービスから機密情報を窃取したり、不正な操作を実行したりする可能性があります。また、この脆弱性は、内部ネットワークへの侵入経路として利用される可能性もあり、攻撃範囲は広がる可能性があります。この脆弱性は、類似のSSRF攻撃と同様に、内部ネットワークのセキュリティを脅かす重大なリスクとなります。

悪用の状況

この脆弱性は、2024年5月10日に公開されました。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていませんが、SSRF攻撃の可能性は高く、悪用されるリスクがあります。公開されているPoC（Proof of Concept）が存在するため、攻撃者による悪用が懸念されます。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の情報を把握することが重要です。

リスク対象者翻訳中…

Organizations utilizing @lobehub/chat in their applications, particularly those with internal services exposed via APIs, are at risk. Environments with weak network segmentation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted if one user's application is compromised.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep @lobehub/chat
  npm list @lobehub/chat

• generic web:

  curl -I https://your-chat-domain.com/api/proxy
  # Look for unexpected internal IP addresses or hostnames in the response headers

攻撃タイムライン

2024-05-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

72.72% (99% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント@lobehub/chat

ベンダーosv

影響範囲修正版

<= 0.150.5 – <= 0.150.50.150.6

—0.150.6

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-04-22
公開日2024-05-10
更新日2026-02-04
EPSS 更新日2026-04-02

緩和策と回避策

まず、@lobehub/chatをバージョン0.150.6にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御するルールを設定することを推奨します。また、内部ネットワークへのアクセスを制限するファイアウォールルールを強化し、不要なポートを閉じることで、攻撃対象となる範囲を限定することができます。さらに、/api/proxyエンドポイントへのアクセスを制限する設定変更も有効です。アップデート後、アプリケーションの動作を確認し、SSRF攻撃が成功しないことを確認してください。

修正方法

Lobe Chatをバージョン0.150.6以降にアップデートしてください。このバージョンでは、`/api/proxy` エンドポイントにおけるサーバーサイドリクエストフォージェリ (SSRF) の脆弱性が修正されています。アップデートすることで、攻撃者が内部サービスへの不正なリクエストを実行したり、機密情報にアクセスしたりすることを防ぐことができます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-32964 — SSRF in @lobehub/chatとは何ですか？