Plataforma
python
Componente
lm-sys/fastchat
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada na API Controller do fastchat, especificamente no endpoint /workergeneratestream. Essa falha permite que atacantes explorem as credenciais do servidor API para realizar ações web não autorizadas ou acessar recursos web não permitidos, especialmente quando combinada com o endpoint /register_worker. A vulnerabilidade afeta versões até a última disponível e foi publicada em 30 de dezembro de 2024.
A exploração bem-sucedida desta vulnerabilidade SSRF pode permitir que um atacante realize uma ampla gama de ações maliciosas. Ao explorar as credenciais do servidor API, um atacante pode acessar recursos internos que normalmente não seriam acessíveis externamente. Isso pode incluir a leitura de arquivos confidenciais, a execução de comandos no servidor ou até mesmo o acesso a outros sistemas na rede interna. A combinação com o endpoint /register_worker aumenta o potencial de exploração, permitindo que um atacante registre um worker malicioso e controle o fluxo de dados. O impacto potencial é significativo, podendo levar à exfiltração de dados, comprometimento do sistema e interrupção do serviço.
A vulnerabilidade foi divulgada publicamente em 30 de dezembro de 2024. A pontuação CVSS de 9.3 (CRÍTICO) indica um alto risco de exploração. Não há informações disponíveis sobre a inclusão em KEV ou a existência de Proof-of-Concept (PoC) públicos no momento da publicação. É crucial implementar as medidas de mitigação recomendadas para reduzir o risco de exploração.
Organizations deploying lm-sys/fastchat for large language model serving, particularly those with exposed Controller API Servers, are at significant risk. This includes research labs, AI development teams, and any environment where fastchat is used to manage and orchestrate language models. Shared hosting environments where multiple users share the same fastchat instance are also particularly vulnerable.
• python / server: Monitor outbound network traffic from the fastchat Controller API Server for unexpected destinations. Use tools like tcpdump or Wireshark to capture and analyze traffic.
tcpdump -i any -n port 80 or port 443 | grep -i 'example.com'• python / server: Examine fastchat logs for unusual requests to the /workergeneratestream and /register_worker endpoints. Look for requests with malformed URLs or unexpected parameters.
# Example log analysis (replace with your actual log parsing)
import re
with open('fastchat.log', 'r') as f:
for line in f:
if re.search(r'/worker_generate_stream.*(http://|https://)', line):
print(line)• generic web: Check for unusual outbound connections from the fastchat server using ss or netstat.
ss -t -a | grep fastchatdisclosure
patch
Status do Exploit
EPSS
0.16% (percentil 37%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar para a versão corrigida do fastchat assim que estiver disponível. Enquanto isso, implemente regras de Web Application Firewall (WAF) para bloquear solicitações suspeitas que possam explorar a vulnerabilidade SSRF. Restrinja o acesso ao endpoint /workergeneratestream e /registerworker, permitindo apenas conexões de fontes confiáveis. Monitore os logs do servidor em busca de atividades incomuns, como solicitações para recursos internos inesperados. Após a atualização, confirme a correção verificando se o endpoint /workergenerate_stream não aceita mais solicitações arbitrárias.
Atualize a biblioteca lm-sys/fastchat para uma versão posterior a e208d5677c6837d590b81cb03847c0b9de100765. Isso corrigirá a vulnerabilidade SSRF no endpoint /worker_generate_stream. Consulte as notas de versão para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Server-Side Request Forgery (SSRF) no endpoint /workergeneratestream da API Controller do fastchat, permitindo acesso não autorizado a recursos internos.
Se você estiver utilizando uma versão do fastchat até a última disponível, você está potencialmente afetado. Verifique a versão em uso e aplique as medidas de mitigação.
Atualize para a versão corrigida do fastchat assim que estiver disponível. Implemente regras WAF e restrinja o acesso ao endpoint vulnerável.
Não há informações confirmadas de exploração ativa no momento da publicação, mas a alta pontuação CVSS indica um risco significativo.
Consulte o repositório oficial do fastchat no GitHub para obter informações e atualizações sobre a vulnerabilidade: [https://github.com/lm-sys/fastchat](https://github.com/lm-sys/fastchat)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.