平台
nodejs
组件
@lobehub/chat
修复版本
0.150.6
0.150.6
CVE-2024-32964 是 @lobehub/chat 中发现的严重 SSRF (服务器端请求伪造) 漏洞。攻击者可以通过构造恶意的请求,无需登录即可触发该漏洞,进而攻击内部服务并泄露敏感信息。该漏洞影响 @lobehub/chat 的早期版本,建议尽快升级至 0.150.6 以消除风险。
该 SSRF 漏洞允许攻击者绕过安全措施,直接向内部网络发送请求。攻击者可以利用此漏洞扫描内部服务,获取敏感数据,例如数据库凭据、API 密钥或内部文档。更严重的是,攻击者可能利用此漏洞作为跳板,进一步攻击内部网络中的其他系统,造成更大的安全风险。由于该漏洞无需身份验证即可利用,攻击面非常广,潜在影响巨大。
该漏洞已公开披露,并存在公开的利用方法。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,存在被攻击的风险。建议密切关注安全社区的动态,及时获取最新的威胁情报。
Organizations utilizing @lobehub/chat in their applications, particularly those with internal services exposed via APIs, are at risk. Environments with weak network segmentation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users share the same server instance could also be impacted if one user's application is compromised.
• nodejs / server:
ps aux | grep @lobehub/chat
npm list @lobehub/chat• generic web:
curl -I https://your-chat-domain.com/api/proxy
# Look for unexpected internal IP addresses or hostnames in the response headersdisclosure
漏洞利用状态
EPSS
72.72% (99% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 @lobehub/chat 升级至 0.150.6 或更高版本。如果升级会导致系统中断,可以考虑暂时禁用 /api/proxy 接口,以阻止未经授权的请求。此外,建议审查并加固内部服务的访问控制,确保只有授权用户才能访问敏感资源。监控网络流量,查找异常的内部请求,可以帮助及早发现潜在的攻击。
将 Lobe Chat 更新到 0.150.6 或更高版本。此版本修复了 `/api/proxy` 端点的服务器端请求伪造 (SSRF) 漏洞。更新将防止攻击者执行未经授权的对内部服务的请求并访问敏感信息。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-32964 是 @lobehub/chat 中发现的 SSRF 漏洞,允许攻击者未经授权访问内部服务,泄露敏感信息。
如果您使用的 @lobehub/chat 版本低于 0.150.6,则可能受到影响。请立即检查您的版本并升级。
将 @lobehub/chat 升级至 0.150.6 或更高版本。如果升级不可行,暂时禁用 /api/proxy 接口。
目前尚未观察到大规模利用,但由于漏洞的严重性和易利用性,存在被攻击的风险。
请访问 @lobehub/chat 的 GitHub 仓库或官方网站,查找相关安全公告。