HIGHCVE-2024-32965CVSS 8.1

@lobehub/chat Server Side Request Forgery vulnerability

Q: CVE-2024-32965 — SSRF in @lobehub/chatとは何ですか？

CVE-2024-32965は、@lobehub/chatのバージョン1.19.13以前に存在するSSRF脆弱性で、攻撃者が内部ネットワークにアクセスし、機密情報を漏洩させる可能性があります。

Q: CVE-2024-32965 in @lobehub/chatの影響はありますか？

はい、@lobehub/chatのバージョン1.19.13以前を使用している場合、この脆弱性により内部ネットワークへの不正アクセスや情報漏洩のリスクがあります。

Q: CVE-2024-32965 in @lobehub/chatを修正するにはどうすればよいですか？

@lobehub/chatをバージョン1.19.13以上にアップデートしてください。アップデートが困難な場合は、プロキシサーバーやファイアウォールでアクセスを制限してください。

Q: CVE-2024-32965は積極的に悪用されていますか？

現時点では、公開されているPoCが存在し、攻撃者が悪用する可能性があります。

Q: CVE-2024-32965に関する@lobehub/chatの公式アドバイザリはどこで入手できますか？

@lobehub/chatの公式アドバイザリは、lobehub.comのセキュリティ情報をご確認ください。

翻訳中…

プラットフォーム

nodejs

コンポーネント

@lobehub/chat

修正版

1.19.14

1.19.13

AI Confidence: highNVDEPSS 0.2%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-32965は、@lobehub/chatのバージョン1.19.13以前に存在するSSRF（サーバーサイドリクエストフォワード）脆弱性です。攻撃者は認証なしで悪意のあるリクエストを構築し、内部ネットワークへのアクセスや機密情報の漏洩を引き起こす可能性があります。この脆弱性は、lobehub.comのチャットプレビュー機能で確認されています。バージョン1.19.13へのアップデートで修正されています。

影響と攻撃シナリオ

このSSRF脆弱性を悪用されると、攻撃者は内部ネットワーク上のサービスにアクセスし、機密情報を盗み出す可能性があります。例えば、内部のデータベースサーバーや管理コンソールにアクセスし、認証情報を取得したり、データを改ざんしたりすることが考えられます。また、攻撃者はこの脆弱性を利用して、他の内部システムへの攻撃の足がかりにすることも可能です。この脆弱性は、認証が必要ないため、攻撃者は容易に悪用できる可能性があります。類似のSSRF脆弱性は、内部ネットワークへの不正アクセスや情報漏洩に繋がる重大なリスクをもたらします。

悪用の状況

CVE-2024-32965は、2024年11月26日に公開されました。現時点では、公開されているPoC（Proof of Concept）が存在します。CISA KEVリストへの登録状況は不明です。攻撃者は、チャットプレビュー機能の設定画面で、悪意のあるプロキシアドレスを入力することで、SSRF攻撃を試みる可能性があります。

リスク対象者翻訳中…

Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep @lobehub/chat

• nodejs / server:

  npm list @lobehub/chat

• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.

攻撃タイムライン

2024-11-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.16% (36% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント@lobehub/chat

ベンダーosv

影響範囲修正版

< 1.19.13 – < 1.19.131.19.14

—1.19.13

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2024-04-22
公開日2024-11-26
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まず@lobehub/chatをバージョン1.19.13以上にアップデートすることを推奨します。アップデートが困難な場合は、プロキシサーバーやファイアウォールを使用して、外部からのアクセスを制限し、内部ネットワークへのアクセスを制御してください。また、入力値の検証を強化し、悪意のあるURLが渡されないように対策することも有効です。WAF（Web Application Firewall）を導入し、SSRF攻撃を検知・防御することも有効な手段です。

修正方法翻訳中…

Actualice Lobe Chat a la versión 1.19.13 o superior. Esta versión corrige la vulnerabilidad SSRF que permite a atacantes realizar solicitudes no autorizadas y acceder a información sensible. La actualización es la única solución conocida.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-32965 — SSRF in @lobehub/chatとは何ですか？