CVE-2024-12376 是一个服务器端请求伪造 (SSRF) 漏洞,存在于 lm-sys/fastchat Web 服务器中。该漏洞允许攻击者发起请求,访问内部服务器资源,从而可能导致敏感信息泄露。该漏洞影响 fastchat 版本小于等于 0.2.36 的用户。建议尽快升级到最新版本或实施缓解措施。
攻击者可以利用此 SSRF 漏洞向内部网络发送请求,绕过防火墙和安全策略。攻击者可以访问内部服务,例如数据库、API 和管理界面。更严重的是,攻击者可以访问 AWS 元数据凭证,从而完全控制云环境。这可能导致数据泄露、服务中断和未经授权的访问。此漏洞的潜在影响范围广泛,可能对组织造成重大损失,类似于其他 SSRF 漏洞导致的数据泄露事件。
该漏洞已于 2025 年 3 月 20 日公开披露。目前尚无公开的利用程序 (POC),但由于 SSRF 漏洞的普遍性,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但其高危评级表明存在潜在的风险。建议密切关注安全社区的动态,并及时采取措施。
Organizations deploying fastchat within AWS environments are particularly at risk due to the potential for credential theft. Shared hosting environments where multiple users share the same server instance are also vulnerable, as an attacker could potentially exploit the vulnerability to access resources belonging to other users. Any deployment relying on fastchat for internal communication or data processing is potentially at risk.
• python / server:
# Check for vulnerable versions
python -c 'import fastchat; print(fastchat.__version__)'• generic web:
# Attempt to trigger SSRF by requesting an internal resource
curl http://<fastchat_server>/.well-known/server-status• generic web:
# Check response headers for unusual origins
curl -I http://<fastchat_server> | grep 'Origin:'disclosure
漏洞利用状态
EPSS
0.12% (32% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2024-12376,最有效的措施是升级到 fastchat 的最新版本,该版本修复了此漏洞。如果无法立即升级,可以考虑实施以下缓解措施:限制 fastchat 应用程序的网络访问权限,只允许其访问必要的内部资源。使用 Web 应用程序防火墙 (WAF) 来过滤恶意请求,并阻止对内部资源的访问。实施严格的输入验证和输出编码,以防止攻击者注入恶意的 URL。监控 fastchat 应用程序的日志,以检测可疑活动。
将 fastchat 库更新到最新可用版本。 这应该包括 SSRF 漏洞的修复。 请参阅版本说明或变更日志以获取有关修复的更多详细信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-12376 是 fastchat Web 服务器中发现的一个服务器端请求伪造 (SSRF) 漏洞,影响版本小于等于 0.2.36 的用户。攻击者可以利用此漏洞访问内部服务器资源。
如果您正在使用 fastchat 版本小于等于 0.2.36,则可能受到此漏洞的影响。请立即检查您的版本并采取相应的缓解措施。
最有效的修复方法是升级到 fastchat 的最新版本。如果无法升级,请实施缓解措施,例如限制网络访问权限和使用 WAF。
目前尚无公开的利用程序,但由于 SSRF 漏洞的普遍性,预计未来可能会出现。建议密切关注安全社区的动态。
请查阅 fastchat 项目的官方 GitHub 仓库或相关安全公告,以获取有关此漏洞的更多信息和修复指南。
上传你的 requirements.txt 文件,立即知道是否受影响。