プラットフォーム
nodejs
コンポーネント
@lobehub/chat
修正版
1.136.3
1.136.2
CVE-2025-62505は、@lobehub/chatのtools.search.crawlPagesエンドポイントに存在するサーバーサイドリクエストフォワード(SSRF)脆弱性です。この脆弱性は、クライアントからのURL配列が適切に検証されずに、サーバーが直接HTTPリクエストを送信してしまうことに起因します。影響を受けるバージョンは1.136.2より前のバージョンです。バージョン1.136.2へのアップデートで修正されています。
このSSRF脆弱性を悪用されると、攻撃者は@lobehub/chatサーバーがアクセスできる内部ネットワークやメタデータエンドポイントにアクセスできるようになります。例えば、内部インフラストラクチャへの情報漏洩、機密データの窃取、さらには内部システムへの攻撃の踏み台として利用される可能性があります。攻撃者は、127.0.0.1や169.254.169.254といった内部ネットワークアドレスや、クラウドメタデータサービスのエンドポイントをターゲットにすることが考えられます。この脆弱性は、特に内部ネットワークが外部ネットワークから直接アクセス可能な環境で深刻な影響をもたらす可能性があります。
この脆弱性は、2025年10月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易なため、将来的に悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照し、最新の状況を把握するようにしてください。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず@lobehub/chatをバージョン1.136.2以降にアップデートすることを強く推奨します。アップデートが困難な場合は、入力検証を強化することで、クライアントからのURL配列が許可されたドメインに限定されるように設定してください。また、WAF(Web Application Firewall)を導入し、SSRF攻撃を検知・防御するルールを設定することも有効です。さらに、内部ネットワークへのアクセスを制限するネットワークセグメンテーションを検討することも重要です。アップデート後、tools.search.crawlPagesエンドポイントに対して、許可されたURLのみが送信されることを確認してください。
LobeChatをバージョン1.136.2以降にアップデートしてください。このバージョンは、ネイティブのウェブフェッチモジュールにおけるSSRFの脆弱性を修正します。既知の回避策はないため、アップデートがリスクを軽減する唯一の方法です。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-62505は、@lobehub/chatのtools.search.crawlPagesエンドポイントにおけるサーバーサイドリクエストフォワード(SSRF)脆弱性です。クライアントからのURL配列が検証されずに外部HTTPリクエストを送信するため、内部ネットワークへのアクセスが可能になります。
はい、影響を受けます。バージョン1.136.2より前の@lobehub/chatを使用している場合は、この脆弱性により内部ネットワークへの不正アクセスを受ける可能性があります。
まず、@lobehub/chatをバージョン1.136.2以降にアップデートしてください。アップデートが難しい場合は、入力検証を強化し、WAFを導入するなど、緩和策を講じてください。
現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性は悪用が容易なため、将来的に悪用される可能性は否定できません。
@lobehub/chatの公式アドバイザリは、プロジェクトのGitHubリポジトリまたは公式ウェブサイトで確認できます。