Plataforma
nodejs
Componente
@lobehub/chat
Corrigido em
0.150.6
0.150.6
A vulnerabilidade CVE-2024-32964 é uma falha de SSRF (Server-Side Request Forgery) descoberta em @lobehub/chat, uma biblioteca Node.js. Essa falha permite que um atacante, sem autenticação, construa requisições maliciosas para acessar serviços internos e potencialmente vazar informações sensíveis. A vulnerabilidade afeta versões anteriores a 0.150.6, e uma correção foi lançada.
A exploração bem-sucedida da vulnerabilidade SSRF em @lobehub/chat pode ter um impacto significativo. Um atacante pode usar a falha para realizar requisições para serviços internos que normalmente não são acessíveis externamente, como bancos de dados, servidores de arquivos ou APIs internas. Isso pode levar ao vazamento de informações confidenciais, como credenciais, dados de usuários ou informações de configuração. Além disso, um atacante pode usar a falha para realizar ataques de negação de serviço (DoS) contra serviços internos, sobrecarregando-os com requisições maliciosas. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu potencial de dano.
A vulnerabilidade foi divulgada publicamente em 2024-05-10. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Atualmente, não há relatos de exploração ativa, mas a facilidade de exploração e a ausência de autenticação tornam a vulnerabilidade um alvo atraente para atacantes. A existência de um Proof of Concept (PoC) público aumenta o risco de exploração.
Organizations utilizing @lobehub/chat in their applications, particularly those with internal services exposed via APIs, are at risk. Environments with weak network segmentation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted if one user's application is compromised.
• nodejs / server:
ps aux | grep @lobehub/chat
npm list @lobehub/chat• generic web:
curl -I https://your-chat-domain.com/api/proxy
# Look for unexpected internal IP addresses or hostnames in the response headersdisclosure
Status do Exploit
EPSS
72.72% (percentil 99%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2024-32964 é atualizar para a versão corrigida do @lobehub/chat, 0.150.6 ou superior. Se a atualização imediata não for possível, considere implementar medidas de mitigação temporárias. Uma opção é configurar um Web Application Firewall (WAF) ou proxy reverso para filtrar requisições maliciosas e bloquear o acesso a serviços internos. Além disso, revise e reforce as políticas de rede para restringir o acesso a serviços internos apenas a fontes confiáveis. Monitore os logs de acesso e erro em busca de atividades suspeitas, como requisições para endpoints inesperados ou tentativas de acesso a serviços internos não autorizados. Após a atualização, confirme a correção verificando se a funcionalidade de proxy não permite mais requisições não autorizadas.
Atualize Lobe Chat para a versão 0.150.6 ou superior. Esta versão corrige a vulnerabilidade de Solicitação Forjada do Lado do Servidor (SSRF) no endpoint `/api/proxy`. A atualização evitará que atacantes possam realizar solicitações não autorizadas a serviços internos e acessar informações sensíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-32964 is a critical SSRF vulnerability affecting @lobehub/chat versions before 0.150.6, allowing attackers to access internal services and leak sensitive information.
You are affected if you are using @lobehub/chat versions prior to 0.150.6. Immediately check your dependencies and upgrade if necessary.
Upgrade to @lobehub/chat version 0.150.6 or later. As a temporary workaround, restrict access to the /api/proxy endpoint using a WAF or proxy server.
While no confirmed active exploitation campaigns have been reported, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the official @lobehub/chat GitHub repository for updates and advisories related to CVE-2024-32964: https://github.com/lobehub/lobe-chat
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.