Platform
nodejs
Component
@lobehub/chat
Opgelost in
1.19.14
1.19.13
CVE-2024-47066 beschrijft een ernstige Server-Side Request Forgery (SSRF) kwetsbaarheid in de @lobehub/chat component, een Node.js applicatie. Deze kwetsbaarheid stelt een aanvaller in staat om interne resources te benaderen door redirects te misbruiken. De kwetsbaarheid treft versies van @lobehub/chat die ouder zijn dan 1.19.13. Een update naar de nieuwste versie is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan aanzienlijke gevolgen hebben. Een aanvaller kan interne services en data benaderen die normaal gesproken niet toegankelijk zijn vanaf het openbare internet. Dit omvat potentieel toegang tot databases, interne API's en andere gevoelige systemen. De impact kan variëren afhankelijk van de interne architectuur en de gevoeligheid van de blootgestelde resources. Een aanvaller kan bijvoorbeeld interne metadata ophalen, gevoelige configuratiebestanden lezen of zelfs interne services misbruiken om verdere aanvallen uit te voeren. De mogelijkheid tot lateral movement binnen het netwerk is reëel, waardoor de blast radius van de kwetsbaarheid aanzienlijk kan zijn.
Deze kwetsbaarheid is openbaar bekend en er is een Proof-of-Concept (PoC) beschikbaar. Het is waarschijnlijk dat deze kwetsbaarheid in de toekomst actief zal worden misbruikt. De kwetsbaarheid is gepubliceerd op 2024-09-23. Er is geen informatie beschikbaar over actieve campagnes of vermelding op de CISA KEV catalogus op dit moment.
Organizations deploying @lobehub/chat in production environments, particularly those that rely on it for proxying external requests, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's application.
• nodejs / server:
grep -r 'https://github.com/lobehub/lobe-chat/blob/main/src/app/api/proxy/route.ts' . • generic web:
curl -I <lobehub/chat endpoint> | grep 'Location:'disclosure
poc
patch
Exploit Status
EPSS
5.78% (90% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-47066 is het updaten van de @lobehub/chat component naar versie 1.19.13 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) met regels die redirects blokkeren of beperken. Controleer de proxy configuratie in src/app/api/proxy/route.ts en zorg ervoor dat redirects correct worden afgehandeld. Het is cruciaal om alle inkomende URL's te valideren en te sanitiseren om te voorkomen dat redirects naar interne resources worden toegestaan. Na de upgrade, controleer de proxy functionaliteit met een gecontroleerde test om te bevestigen dat redirects correct worden afgehandeld en interne resources beschermd zijn.
Werk Lobe Chat bij naar versie 1.19.13 of hoger. Deze versie bevat een correctie voor de Server-Side Request Forgery (SSRF) kwetsbaarheid. De update zal het risico verminderen dat een aanvaller toegang kan krijgen tot interne resources via kwaadaardige redirects.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-47066 is a critical SSRF vulnerability in the @lobehub/chat component, allowing attackers to bypass SSRF protections and access internal resources.
You are affected if you are using a version of @lobehub/chat prior to 1.19.13.
Upgrade to version 1.19.13 or later. Consider implementing a WAF to filter malicious URLs as an interim measure.
While not confirmed, the availability of a public PoC increases the likelihood of exploitation, so proactive mitigation is recommended.
Refer to the official GitHub repository for @lobehub/chat for updates and advisories: https://github.com/lobehub/lobe-chat
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.