Platform
python
Component
fschat
Opgelost in
0.2.37
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in de lm-sys/fastchat web server, specifiek in versies tot en met 0.2.36. Deze kwetsbaarheid stelt een aanvaller in staat om interne serverresources en data te benaderen die anders niet toegankelijk zouden zijn. De kwetsbaarheid is publiekelijk bekendgemaakt op 20 maart 2025 en vereist onmiddellijke aandacht om verdere misbruik te voorkomen.
De SSRF-kwetsbaarheid in fschat maakt het mogelijk voor een aanvaller om verzoeken te versturen vanuit de server, alsof ze afkomstig zijn van de server zelf. Dit kan leiden tot ongeautoriseerde toegang tot interne systemen en diensten. In dit specifieke geval kan een aanvaller AWS metadata credentials benaderen, wat de basis kan vormen voor verdere escalatie van privileges en toegang tot gevoelige data binnen de AWS omgeving. De impact is aanzienlijk, aangezien de aanvaller potentieel toegang kan krijgen tot cloud resources en deze kan misbruiken voor bijvoorbeeld data-exfiltratie of het lanceren van aanvallen op andere systemen binnen de infrastructuur. Dit patroon is vergelijkbaar met SSRF-aanvallen die in andere webapplicaties zijn waargenomen, waarbij interne services worden blootgesteld.
De kwetsbaarheid is publiekelijk bekendgemaakt op 20 maart 2025. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. Er zijn geen publieke proof-of-concept exploits bekend, maar de SSRF-aard van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst dergelijke exploits beschikbaar zullen komen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op het moment van schrijven).
Organizations deploying fastchat within AWS environments are particularly at risk due to the potential for credential theft. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users. Any deployment relying on fastchat for internal communication or data processing is potentially at risk.
• python / server:
# Check for vulnerable versions
python -c 'import fastchat; print(fastchat.__version__)'• generic web:
# Attempt to trigger SSRF by requesting an internal resource
curl http://<fastchat_server>/.well-known/server-status• generic web:
# Check response headers for unusual origins
curl -I http://<fastchat_server> | grep 'Origin:'disclosure
Exploit Status
EPSS
0.12% (32% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar een beveiligde versie van fschat. Controleer de officiële lm-sys repository voor de meest recente versie die deze kwetsbaarheid verhelpt. Indien een upgrade momenteel niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die verzoeken naar interne resources blokkeert. Configureer de WAF om verzoeken met specifieke URL-patronen die wijzen op interne services te filteren. Daarnaast kan het beperken van de toegang tot de fschat web server tot vertrouwde bronnen de aanvalsoppervlakte verkleinen. Na de upgrade, controleer de server logs op verdachte activiteiten die verband houden met SSRF-aanvallen.
Werk de fastchat bibliotheek bij naar de laatste beschikbare versie. Dit zou de correctie voor de SSRF kwetsbaarheid moeten bevatten. Raadpleeg de release notes of het changelog voor meer details over de correctie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-12376 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de lm-sys/fastchat web server, waardoor aanvallers interne serverresources kunnen benaderen.
Ja, als u een versie van fschat gebruikt die kleiner of gelijk is aan 0.2.36, bent u getroffen door deze kwetsbaarheid.
Upgrade naar een beveiligde versie van fschat. Indien een upgrade niet mogelijk is, implementeer dan een WAF of proxy om interne resources te blokkeren.
Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de SSRF-aard van de kwetsbaarheid maakt misbruik waarschijnlijk.
Raadpleeg de officiële lm-sys repository voor de meest recente informatie en beveiligingsupdates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.