Plataforma
nodejs
Componente
@lobehub/chat
Corrigido em
1.19.14
1.19.13
A vulnerabilidade CVE-2024-47066 é uma falha de Server-Side Request Forgery (SSRF) descoberta na biblioteca @lobehub/chat. Essa falha permite que um atacante contorne a proteção SSRF implementada, explorando redirecionamentos para acessar recursos internos, como redes privadas ou endereços de loopback. A vulnerabilidade afeta versões anteriores a 1.19.13 e foi corrigida nesta versão.
Um atacante pode explorar essa vulnerabilidade fornecendo uma URL externa maliciosa que redireciona para um recurso interno. Como a proteção SSRF não considera redirecionamentos, o atacante pode efetivamente acessar dados confidenciais ou executar ações em nome do servidor. Isso pode levar à exposição de informações sensíveis, como credenciais de banco de dados ou chaves de API, ou até mesmo permitir a execução de comandos no servidor, dependendo da configuração e dos recursos internos acessíveis. A exploração bem-sucedida pode resultar em um comprometimento significativo da segurança do sistema.
A vulnerabilidade foi divulgada em 23 de setembro de 2024. Um Proof of Concept (PoC) foi disponibilizado, demonstrando a possibilidade de contornar a proteção SSRF. A probabilidade de exploração é considerada alta devido à facilidade de exploração e à disponibilidade do PoC. Não há informações sobre campanhas de exploração ativas no momento, mas a vulnerabilidade deve ser tratada com urgência.
Organizations deploying @lobehub/chat in production environments, particularly those that rely on it for proxying external requests, are at significant risk. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability through another user's application.
• nodejs / server:
grep -r 'https://github.com/lobehub/lobe-chat/blob/main/src/app/api/proxy/route.ts' . • generic web:
curl -I <lobehub/chat endpoint> | grep 'Location:'disclosure
poc
patch
Status do Exploit
EPSS
5.78% (percentil 90%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca @lobehub/chat para a versão 1.19.13 ou superior. Se a atualização imediata não for possível, considere implementar um Web Application Firewall (WAF) para filtrar solicitações com redirecionamentos suspeitos. Além disso, revise a configuração da aplicação para garantir que apenas as URLs necessárias sejam permitidas e que o acesso a recursos internos seja restrito. Monitore os logs de acesso e erro em busca de padrões incomuns que possam indicar uma tentativa de exploração.
Atualize Lobe Chat para a versão 1.19.13 ou superior. Esta versão contém uma correção para a vulnerabilidade de Server-Side Request Forgery (SSRF). A atualização mitigará o risco de que um atacante possa acessar recursos internos através de redirecionamentos maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-47066 is a critical SSRF vulnerability in the @lobehub/chat component, allowing attackers to bypass SSRF protections and access internal resources.
You are affected if you are using a version of @lobehub/chat prior to 1.19.13.
Upgrade to version 1.19.13 or later. Consider implementing a WAF to filter malicious URLs as an interim measure.
While not confirmed, the availability of a public PoC increases the likelihood of exploitation, so proactive mitigation is recommended.
Refer to the official GitHub repository for @lobehub/chat for updates and advisories: https://github.com/lobehub/lobe-chat
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.