Plataforma
nodejs
Componente
@lobehub/chat
Corrigido em
1.19.14
1.19.13
A vulnerabilidade CVE-2024-32965 é uma falha de SSRF (Server-Side Request Forgery) descoberta na biblioteca @lobehub/chat, versões anteriores à 1.19.13. Um atacante pode explorar essa falha para realizar requisições maliciosas sem autenticação, potencialmente acessando serviços internos e expondo informações confidenciais. A atualização para a versão 1.19.13 resolve essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize requisições HTTP arbitrárias do servidor, disfarçando-as como se viessem de dentro da aplicação. Isso pode levar ao acesso não autorizado a serviços internos que normalmente não são acessíveis externamente, como bancos de dados, servidores de arquivos ou APIs internas. O atacante pode, por exemplo, ler arquivos confidenciais, executar comandos no servidor (dependendo das permissões do processo) ou realizar ataques de negação de serviço (DoS) contra os serviços internos. A ausência de autenticação necessária para explorar a vulnerabilidade aumenta significativamente o seu impacto, tornando-a acessível a qualquer usuário mal-intencionado.
A vulnerabilidade foi divulgada em 26 de novembro de 2024. Não há informações disponíveis sobre a adição a KEV (CISA Known Exploited Vulnerabilities) ou sobre a existência de exploits públicos amplamente divulgados. A descrição da vulnerabilidade indica que a exploração é relativamente simples, envolvendo a manipulação de URLs para direcionar requisições para serviços internos. É recomendável monitorar ativamente a aplicação para detectar tentativas de exploração.
Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.
• nodejs / server:
ps aux | grep @lobehub/chat• nodejs / server:
npm list @lobehub/chat• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.
disclosure
Status do Exploit
EPSS
0.16% (percentil 36%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-32965 é a atualização imediata para a versão 1.19.13 ou superior da biblioteca @lobehub/chat. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar regras de firewall ou proxy para restringir as requisições HTTP originadas da aplicação, bloqueando o acesso a endereços internos ou serviços sensíveis. Além disso, a validação rigorosa de todas as entradas de URL fornecidas pelo usuário pode ajudar a prevenir a exploração da vulnerabilidade, embora não seja uma solução completa. Após a atualização, confirme a correção da vulnerabilidade verificando se as requisições maliciosas são bloqueadas e se os serviços internos permanecem inacessíveis externamente.
Atualize Lobe Chat para a versão 1.19.13 ou superior. Esta versão corrige a vulnerabilidade SSRF que permite a atacantes realizar solicitações não autorizadas e acessar informações sensíveis. A atualização é a única solução conhecida.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-32965 é uma vulnerabilidade de SSRF (Server-Side Request Forgery) na biblioteca @lobehub/chat, permitindo que atacantes realizem requisições maliciosas sem autenticação.
Sim, se você estiver utilizando uma versão da biblioteca @lobehub/chat anterior à 1.19.13, você está potencialmente afetado.
Atualize imediatamente para a versão 1.19.13 ou superior da biblioteca @lobehub/chat.
Não há informações confirmadas sobre exploração ativa, mas a vulnerabilidade é considerada de alto risco e deve ser corrigida o mais rápido possível.
Verifique o repositório oficial da @lobehub/chat no GitHub ou o site oficial da Lobehub para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.