CVE-2024-11030 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in GPT Academic. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde webresources te benaderen via de HotReload plugin. De kwetsbaarheid treft versies van GPT Academic tot en met de laatste beschikbare versie. Een oplossing is het updaten naar de meest recente versie, of het implementeren van tijdelijke mitigatiemaatregelen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot interne systemen en gevoelige gegevens die toegankelijk zijn via de GPT Academic server. Aanvallers kunnen de server gebruiken als een proxy om verbinding te maken met interne bronnen die anders niet bereikbaar zouden zijn van buitenaf. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen of zelfs verdere aanvalspogingen op interne netwerken. De impact is verhoogd omdat de kwetsbaarheid zich in een plugin bevindt die mogelijk vaak wordt gebruikt, waardoor een groter aanvalsoppervlak ontstaat.
Deze kwetsbaarheid is openbaar gemaakt op 2025-03-20. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend op het moment van schrijven. De ernst van de kwetsbaarheid is beoordeeld als HOOG, wat duidt op een aanzienlijke dreiging.
Organizations utilizing GPT Academic, particularly those deploying it in environments with sensitive data or internal services accessible through the Gradio Web server, are at risk. Those using older, unpatched versions of GPT Academic are especially vulnerable. Shared hosting environments where multiple users share the same GPT Academic instance could also be affected, potentially allowing one user to exploit the vulnerability to access resources belonging to other users.
• python / server:
import requests
import sys
def check_ssrf(url):
try:
response = requests.get(url, timeout=5, verify=False)
print(f"[+] URL {url} returned status code: {response.status_code}")
return True
except requests.exceptions.RequestException as e:
print(f"[-] URL {url} failed: {e}")
return False
if __name__ == "__main__":
if len(sys.argv) > 1:
target_url = sys.argv[1]
if check_ssrf(target_url):
print("[!] SSRF vulnerability detected!")
else:
print("[+] SSRF vulnerability not detected.")
else:
print("Usage: python check_ssrf.py <target_url>")disclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van GPT Academic naar de meest recente versie zodra deze beschikbaar is. Totdat een update beschikbaar is, kan een tijdelijke workaround bestaan uit het uitschakelen van de HotReload plugin of het beperken van de toegang tot de API endpoints die door de plugin worden aangeroepen. Controleer ook de configuratie van de Gradio Web server om ervoor te zorgen dat deze niet onnodig toegang heeft tot interne bronnen. Implementeer firewalls en netwerksegmentatie om de impact van een succesvolle exploitatie te beperken.
Werk GPT Academic bij naar de laatste beschikbare versie. Zorg ervoor dat de HotReload plugin bijgewerkt is en dat de nodige beveiligingsmaatregelen zijn toegepast om SSRF aanvallen te voorkomen. Controleer de configuratie van de plugin en beperk de toegang tot ongeautoriseerde web resources.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11030 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in GPT Academic ≤latest, waardoor ongeautoriseerde toegang tot webresources mogelijk is via de HotReload plugin.
Ja, als u GPT Academic gebruikt in versie ≤latest, bent u mogelijk getroffen door deze kwetsbaarheid. Controleer uw installatie en update indien mogelijk.
De beste oplossing is het updaten van GPT Academic naar de meest recente versie zodra deze beschikbaar is. Totdat een update beschikbaar is, overweeg dan het uitschakelen van de HotReload plugin.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes, maar de kwetsbaarheid is openbaar gemaakt en kan in de toekomst worden misbruikt.
Raadpleeg de officiële GPT Academic website of documentatie voor het meest recente advisory en updates over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.