Platform
nodejs
Component
@lobehub/chat
Opgelost in
1.19.14
1.19.13
CVE-2024-32965 beschrijft een ongeautoriseerde Server-Side Request Forgery (SSRF) kwetsbaarheid in de @lobehub/chat bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om verzoeken te maken zonder in te loggen, waardoor toegang tot interne services mogelijk is en gevoelige informatie gelekt kan worden. De kwetsbaarheid treft versies van @lobehub/chat die ouder zijn dan 1.19.13. Een update naar versie 1.19.13 of hoger is vereist om de kwetsbaarheid te verhelpen.
De SSRF-kwetsbaarheid in @lobehub/chat stelt aanvallers in staat om verzoeken te sturen naar interne netwerkbronnen die normaal gesproken niet toegankelijk zijn vanaf het internet. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne configuratiebestanden, database-credentials of andere vertrouwelijke gegevens. Een aanvaller kan ook interne services aanvallen, zoals databases of API's, en deze compromitteren. De impact kan aanzienlijk zijn, vooral als de interne netwerken gevoelige data bevatten of kritieke systemen hosten. Het is vergelijkbaar met SSRF-aanvallen die in andere webapplicaties zijn waargenomen, waarbij interne bronnen worden blootgesteld door middel van een onvoldoende gevalideerde URL.
De kwetsbaarheid werd publiekelijk bekendgemaakt op 2024-11-26. Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar de beschikbaarheid van een proof-of-concept (POC) maakt exploitatie mogelijk. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus (KEV) op het moment van schrijven. De NVD-datum is 2024-11-26.
Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.
• nodejs / server:
ps aux | grep @lobehub/chat• nodejs / server:
npm list @lobehub/chat• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.
disclosure
Exploit Status
EPSS
0.16% (36% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-32965 is het updaten van de @lobehub/chat bibliotheek naar versie 1.19.13 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy om uitgaande verzoeken te filteren en te beperken. Configureer de WAF om verzoeken naar interne IP-adressen of onbekende domeinen te blokkeren. Controleer de configuratie van @lobehub/chat om te verzekeren dat de proxy-instellingen correct zijn ingesteld en dat er geen onbedoelde toegang tot interne bronnen mogelijk is. Na de upgrade, verifieer de fix door een poging te wagen om een SSRF-aanval uit te voeren met behulp van de beschreven exploit-stappen in de CVE-beschrijving en controleer of de poging wordt geblokkeerd.
Werk Lobe Chat bij naar versie 1.19.13 of hoger. Deze versie corrigeert de SSRF kwetsbaarheid die aanvallers in staat stelt ongeautoriseerde verzoeken uit te voeren en toegang te krijgen tot gevoelige informatie. De update is de enige bekende oplossing.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-32965 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de @lobehub/chat bibliotheek, waardoor aanvallers interne services kunnen bereiken en gevoelige informatie kunnen lekken.
U bent getroffen als u een versie van @lobehub/chat gebruikt die ouder is dan 1.19.13.
Update @lobehub/chat naar versie 1.19.13 of hoger. Implementeer een WAF of proxy om uitgaande verzoeken te filteren als een tijdelijke workaround.
Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid uitbuiten, maar de beschikbaarheid van een proof-of-concept maakt exploitatie mogelijk.
Raadpleeg de @lobehub/chat repository op GitHub voor de meest recente informatie en updates over deze kwetsbaarheid.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.