Platform
python
Component
fschat
Opgelost in
0.2.37
Deze kwetsbaarheid betreft een Server-Side Request Forgery (SSRF) in de lm-sys/fastchat applicatie, specifiek in versies tot en met 0.2.36. Een aanvaller kan de /queue/join? endpoint misbruiken om ongevalideerde verzoeken te sturen. Dit kan resulteren in toegang tot interne systemen en gevoelige data, waardoor de integriteit en vertrouwelijkheid van de omgeving in gevaar komen. De kwetsbaarheid werd publiekelijk bekendgemaakt op 20 maart 2025.
De SSRF-kwetsbaarheid in fschat stelt een aanvaller in staat om verzoeken uit te voeren alsof ze afkomstig zijn van de server zelf. Dit betekent dat de aanvaller interne resources kan benaderen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Een succesvolle exploitatie kan leiden tot het blootleggen van gevoelige informatie, zoals AWS credentials, interne IP-adressen en andere configuratiegegevens. Verder kan de aanvaller mogelijk interne services misbruiken of zelfs toegang krijgen tot andere systemen binnen het netwerk, waardoor de impact aanzienlijk kan toenemen. Dit patroon is vergelijkbaar met andere SSRF-aanvallen waarbij interne metadata endpoints worden misbruikt.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gericht op CVE-2024-11603. Er zijn ook geen publieke proof-of-concept exploits bekend. De kwetsbaarheid is toegevoegd aan de NVD database op 20 maart 2025. De EPSS score is momenteel niet bekend, maar gezien de potentiële impact en de relatieve eenvoud van exploitatie, verdient deze kwetsbaarheid aandacht.
Organizations deploying fastchat for language model serving, particularly those running on AWS infrastructure, are at significant risk. Shared hosting environments where fastchat instances share network access with other tenants are also particularly vulnerable, as a successful SSRF attack could potentially compromise other services on the same host.
• python / server:
import requests
import urllib.parse
def check_ssrf(url):
try:
parsed_url = urllib.parse.urlparse(url)
if parsed_url.scheme in ('http', 'https'):
response = requests.get(url, timeout=5)
print(f"URL: {url}, Status Code: {response.status_code}")
else:
print(f"Invalid URL scheme: {url}")
except requests.exceptions.RequestException as e:
print(f"Error accessing {url}: {e}")
# Example usage - check AWS metadata endpoint
check_ssrf('http://169.254.169.254/latest/meta-data/iam/security-credentials/')• generic web:
curl -I 'http://your-fastchat-server/queue/join?path=http://169.254.169.254/latest/meta-data/iam/security-credentials/'disclosure
Exploit Status
EPSS
0.15% (35% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-11603 is het upgraden van fschat naar een versie hoger dan 0.2.36, zodra deze beschikbaar is. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die verzoeken naar de /queue/join? endpoint filtert en ongevalideerde paden blokkeert. Controleer ook de configuratie van de server en zorg ervoor dat er geen onnodige interne services worden blootgesteld. Het implementeren van strikte netwerksegmentatie kan de impact van een succesvolle exploitatie verder beperken.
Werk de fastchat bibliotheek bij naar een versie later dan 0.2.36 die de SSRF kwetsbaarheid verhelpt. Raadpleeg de release notes of de changelog voor details over de correctie. Indien er geen bijgewerkte versie beschikbaar is, overweeg dan om validatie en sanitatie van invoer in de `/queue/join?` endpoint te implementeren om het risico op SSRF te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-11603 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in fschat versies tot en met 0.2.36, waardoor een aanvaller interne resources kan benaderen.
Ja, als u fschat gebruikt in versie 0.2.36 of lager, bent u kwetsbaar voor deze SSRF-kwetsbaarheid.
Upgrade fschat naar een versie hoger dan 0.2.36 zodra deze beschikbaar is. Implementeer een WAF of proxy als tijdelijke workaround.
Op dit moment zijn er geen bekende actieve exploitatiecampagnes, maar de kwetsbaarheid verdient aandacht.
Raadpleeg de lm-sys/fastchat repository op GitHub voor de meest recente informatie en advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.