HIGHCVE-2024-11030CVSS 7.7

binary-husky/gpt_academic 中的 SSRF

平台

python

组件

gpt_academic

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

GPT Academic 3.83及更早版本存在一个服务器端请求伪造 (SSRF) 漏洞。该漏洞源于HotReload插件函数调用crazyutils.getfilesfromeverything() API时，缺乏适当的输入验证。攻击者可以利用此漏洞，利用受害GPT Academic的Gradio Web服务器凭据，访问未经授权的网络资源，造成潜在的数据泄露和系统滥用。目前，官方已发布安全更新，建议尽快升级。

影响与攻击场景

该SSRF漏洞允许攻击者通过GPT Academic服务器发起请求，访问其内部网络或其他外部资源。攻击者可以利用此漏洞读取敏感文件，执行恶意代码，甚至控制整个系统。更严重的是，如果GPT Academic服务器具有访问其他关键系统的权限，攻击者可以利用此漏洞进行横向移动，扩大攻击范围。攻击者可能利用此漏洞窃取用户数据、破坏系统服务，并造成严重的经济损失和声誉损害。此漏洞的潜在影响类似于其他SSRF漏洞，可能导致数据泄露和系统控制。

利用背景

该漏洞已于2025年3月20日公开披露。目前，尚未观察到大规模的利用活动，但存在潜在的利用风险。该漏洞的CVSS评分较高，表明其易于利用且可能造成严重的影响。建议密切关注安全社区的动态，及时采取应对措施。目前尚未被添加到CISA KEV目录。

哪些人处于风险中翻译中…

Organizations utilizing GPT Academic, particularly those deploying it in environments with sensitive data or internal services accessible through the Gradio Web server, are at risk. Those using older, unpatched versions of GPT Academic are especially vulnerable. Shared hosting environments where multiple users share the same GPT Academic instance could also be affected, potentially allowing one user to exploit the vulnerability to access resources belonging to other users.

检测步骤翻译中…

• python / server:

import requests
import sys

def check_ssrf(url):
    try:
        response = requests.get(url, timeout=5, verify=False)
        print(f"[+] URL {url} returned status code: {response.status_code}")
        return True
    except requests.exceptions.RequestException as e:
        print(f"[-] URL {url} failed: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) > 1:
        target_url = sys.argv[1]
        if check_ssrf(target_url):
            print("[!] SSRF vulnerability detected!")
        else:
            print("[+] SSRF vulnerability not detected.")
    else:
        print("Usage: python check_ssrf.py <target_url>")

攻击时间线

2025-03-20Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.07% (21% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

CVSS 向量

受影响的软件

组件gpt_academic

供应商binary-husky

影响范围修复版本

unspecified – latest—

弱点分类 (CWE)

CWE-918

时间线

已保留2024-11-08
发布日期2025-03-20
EPSS 更新日期2026-04-02

未修复 — 披露已430天

缓解措施和替代方案

为了缓解CVE-2024-11030漏洞的影响，建议立即升级到最新版本GPT Academic。如果无法立即升级，可以考虑以下临时缓解措施：首先，限制GPT Academic服务器的网络访问权限，只允许其访问必要的资源。其次，实施严格的输入验证，过滤掉所有潜在的恶意输入。第三，使用Web应用防火墙 (WAF) 或反向代理来检测和阻止SSRF攻击。最后，定期审查GPT Academic的配置，确保其安全性。

修复方法

将 GPT Academic 更新到最新可用版本。确保 HotReload 插件已更新，并且已采取必要的安全措施来防止 SSRF 攻击。审查插件配置，并限制对未授权网络资源的访问。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2024-11030 — SSRF漏洞在GPT Academic中？

CVE-2024-11030是一个服务器端请求伪造 (SSRF) 漏洞，影响GPT Academic 3.83及更早版本。攻击者可以利用此漏洞访问未经授权的网络资源。

我是否受到CVE-2024-11030在GPT Academic中的影响？

如果您正在使用GPT Academic 3.83或更早版本，则可能受到此漏洞的影响。请立即检查您的版本并升级。

我如何修复CVE-2024-11030在GPT Academic中？

建议立即升级到最新版本的GPT Academic。如果无法升级，请采取缓解措施，例如限制网络访问权限和实施输入验证。

CVE-2024-11030是否正在被积极利用？

目前尚未观察到大规模的利用活动，但存在潜在的利用风险。建议密切关注安全社区的动态。

在哪里可以找到官方GPT Academic关于CVE-2024-11030的公告？

请访问GPT Academic官方网站或GitHub仓库，查找关于CVE-2024-11030的安全公告。