Platform
python
Component
lm-sys/fastchat
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in de Controller API Server van lm-sys/fastchat, specifiek in de /workergeneratestream API endpoint. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde webacties uit te voeren of toegang te krijgen tot ongeautoriseerde webresources door deze te combineren met de /register_worker endpoint. De kwetsbaarheid treft versies van fastchat tot en met de laatste beschikbare versie. Een upgrade naar de meest recente versie is aanbevolen.
Deze SSRF-kwetsbaarheid stelt een aanvaller in staat om de controller API server te misbruiken om verzoeken te sturen naar interne of externe bronnen namens de server. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne netwerkconfiguraties, API-sleutels of andere credentials. Door de combinatie met de /register_worker endpoint kan een aanvaller mogelijk de server credentials overnemen en zo verder misbruik plegen. De impact is significant, aangezien een succesvolle exploitatie kan leiden tot een compromittering van de gehele applicatie en de onderliggende infrastructuur.
Deze kwetsbaarheid is openbaar bekend sinds 30 december 2024. Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de ernst van de kwetsbaarheid (CVSS 9.3) en de potentiële impact suggereren een medium tot hoog risico op uitbuiting. Het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen.
Organizations deploying lm-sys/fastchat for large language model serving, particularly those with exposed Controller API Servers, are at significant risk. This includes research labs, AI development teams, and any environment where fastchat is used to manage and orchestrate language models. Shared hosting environments where multiple users share the same fastchat instance are also particularly vulnerable.
• python / server: Monitor outbound network traffic from the fastchat Controller API Server for unexpected destinations. Use tools like tcpdump or Wireshark to capture and analyze traffic.
tcpdump -i any -n port 80 or port 443 | grep -i 'example.com'• python / server: Examine fastchat logs for unusual requests to the /workergeneratestream and /register_worker endpoints. Look for requests with malformed URLs or unexpected parameters.
# Example log analysis (replace with your actual log parsing)
import re
with open('fastchat.log', 'r') as f:
for line in f:
if re.search(r'/worker_generate_stream.*(http://|https://)', line):
print(line)• generic web: Check for unusual outbound connections from the fastchat server using ss or netstat.
ss -t -a | grep fastchatdisclosure
patch
Exploit Status
EPSS
0.16% (37% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar de meest recente versie van fastchat, waar deze kwetsbaarheid is verholpen. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van restricties op de /workergeneratestream API endpoint. Dit kan bijvoorbeeld door het beperken van de toegestane URL's of het implementeren van een Web Application Firewall (WAF) die verdachte verzoeken blokkeert. Controleer ook de configuratie van de /register_worker endpoint om te verzekeren dat deze niet misbruikt kan worden in combinatie met de SSRF kwetsbaarheid.
Werk de lm-sys/fastchat bibliotheek bij naar een versie later dan e208d5677c6837d590b81cb03847c0b9de100765. Dit zal de SSRF kwetsbaarheid in het /worker_generate_stream endpoint verhelpen. Raadpleeg de release notes voor meer details over de update.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-10044 is a critical Server-Side Request Forgery (SSRF) vulnerability in the Controller API Server of lm-sys/fastchat, allowing attackers to exploit the server's credentials for unauthorized web actions.
If you are running lm-sys/fastchat with versions up to the latest release, you are potentially affected by this SSRF vulnerability.
The recommended fix is to upgrade to a patched version of fastchat as soon as it becomes available. Implement temporary workarounds like restricting network access and input validation until the patch is applied.
While no active campaigns have been publicly confirmed, the ease of exploitation makes it a likely target for attackers. Monitor your systems closely.
Refer to the lm-sys/fastchat repository and relevant security mailing lists for official advisories and updates regarding CVE-2024-10044.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.