Platform
nodejs
Component
@lobehub/chat
Opgelost in
0.150.6
0.150.6
CVE-2024-32964 beschrijft een ernstige Server-Side Request Forgery (SSRF) kwetsbaarheid in de @lobehub/chat component, specifiek in versies eerder dan 0.150.6. Deze kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde verzoeken te sturen en interne services aan te vallen, wat kan leiden tot het lekken van gevoelige informatie. De kwetsbaarheid is publiekelijk bekend sinds 2024-05-10 en er is een fix beschikbaar in versie 0.150.6.
De SSRF-kwetsbaarheid in @lobehub/chat stelt een aanvaller in staat om verzoeken te maken vanuit de server, alsof ze afkomstig zijn van de applicatie zelf. Dit kan worden misbruikt om toegang te krijgen tot interne services die normaal gesproken niet toegankelijk zijn vanaf het internet. Een aanvaller kan bijvoorbeeld interne API's benaderen, configuratiebestanden ophalen of zelfs toegang krijgen tot databases. Het lekken van gevoelige informatie kan leiden tot verdere compromittering van het systeem en de data. De /api/proxy endpoint maakt deze exploitatie relatief eenvoudig, aangezien het direct een echo in de HTTP-response geeft, wat het debuggen en exploiteren vergemakkelijkt.
Deze kwetsbaarheid is recentelijk openbaar gemaakt en er zijn publieke proof-of-concept (POC) beschikbaar. Hoewel er momenteel geen meldingen zijn van actieve exploitatie in de wild, is de lage complexiteit van de exploitatie en de kritieke ernst van de kwetsbaarheid zorgwekkend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en CISA (Cybersecurity and Infrastructure Security Agency) zal deze waarschijnlijk toevoegen aan de KEV (Known Exploited Vulnerabilities) catalogus.
Organizations utilizing @lobehub/chat in their applications, particularly those with internal services exposed via APIs, are at risk. Environments with weak network segmentation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted if one user's application is compromised.
• nodejs / server:
ps aux | grep @lobehub/chat
npm list @lobehub/chat• generic web:
curl -I https://your-chat-domain.com/api/proxy
# Look for unexpected internal IP addresses or hostnames in the response headersdisclosure
Exploit Status
EPSS
72.72% (99% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-32964 is het upgraden van de @lobehub/chat component naar versie 0.150.6 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de /api/proxy endpoint te blokkeren of te beperken. Configureer de WAF om verzoeken met onbekende of verdachte bestemmingen te filteren. Controleer ook de configuratie van de applicatie om te zorgen voor een minimale toegang tot interne resources. Na de upgrade, bevestig de fix door een poging te wagen om een SSRF-verzoek te sturen via de /api/proxy endpoint en controleer of dit wordt geblokkeerd.
Werk Lobe Chat bij naar versie 0.150.6 of hoger. Deze versie corrigeert de Server-Side Request Forgery (SSRF) kwetsbaarheid in het endpoint `/api/proxy`. De update voorkomt dat aanvallers ongeautoriseerde verzoeken naar interne services kunnen uitvoeren en gevoelige informatie kunnen benaderen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-32964 is a critical SSRF vulnerability affecting @lobehub/chat versions before 0.150.6, allowing attackers to access internal services and leak sensitive information.
You are affected if you are using @lobehub/chat versions prior to 0.150.6. Immediately check your dependencies and upgrade if necessary.
Upgrade to @lobehub/chat version 0.150.6 or later. As a temporary workaround, restrict access to the /api/proxy endpoint using a WAF or proxy server.
While no confirmed active exploitation campaigns have been reported, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the official @lobehub/chat GitHub repository for updates and advisories related to CVE-2024-32964: https://github.com/lobehub/lobe-chat
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.