平台
nodejs
组件
@lobehub/chat
修复版本
1.19.14
1.19.13
CVE-2024-32965 描述了 @lobehub/chat 应用程序中存在的未经授权的服务器端请求伪造 (SSRF) 漏洞。攻击者可以通过构造恶意的 HTTP 请求,绕过身份验证机制,直接访问内部网络资源并可能泄露敏感数据。该漏洞影响 @lobehub/chat 的 1.19.0 及更早版本。建议立即升级至 1.19.13 版本以解决此问题。
该 SSRF 漏洞允许攻击者绕过身份验证,直接向内部网络服务发送请求。攻击者可以利用此漏洞扫描内网服务,获取敏感信息,例如数据库凭据、API 密钥或其他机密数据。更严重的场景下,攻击者可能利用 SSRF 漏洞执行代码或进行横向移动,进一步控制受影响的系统。由于该漏洞无需身份验证,因此攻击面非常广,潜在影响巨大。攻击者可以通过构造包含内网 IP 地址或主机名的 URL,并将其作为 API 请求的一部分发送,从而触发 SSRF 漏洞。
目前尚未公开发现针对 CVE-2024-32965 的大规模利用活动,但该漏洞的公开披露表明攻击者可能已经意识到其存在。由于该漏洞无需身份验证,且攻击方式相对简单,因此存在被利用的风险。建议密切关注安全社区的动态,及时采取缓解措施。该漏洞已发布于 NVD 数据库,CISA 尚未将其添加到 KEV 目录。
Organizations using @lobehub/chat for local LLM experimentation or development are at risk, particularly those with sensitive internal services accessible via HTTP or HTTPS. Shared hosting environments where multiple users share the same @lobehub/chat instance are also at increased risk, as a compromised user could potentially exploit the SSRF vulnerability to access other users' data or internal resources.
• nodejs / server:
ps aux | grep @lobehub/chat• nodejs / server:
npm list @lobehub/chat• generic web: Review access logs for outbound requests to internal IP addresses (e.g., 127.0.0.1, 192.168.x.x, 10.x.x.x) originating from the @lobehub/chat application. • generic web: Monitor response headers for unexpected content or error messages indicating SSRF attempts.
disclosure
漏洞利用状态
EPSS
0.16% (36% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 @lobehub/chat 升级至 1.19.13 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,阻止包含内网 IP 地址或主机名的请求。此外,可以限制 @lobehub/chat 应用程序的访问权限,仅允许其访问必要的资源。在升级后,请验证 SSRF 漏洞是否已成功修复,可以通过尝试访问内网资源来确认。
将 Lobe Chat 更新到 1.19.13 或更高版本。此版本修复了允许攻击者执行未经授权的请求并访问敏感信息的 SSRF 漏洞。升级是目前已知的唯一解决方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-32965 是 @lobehub/chat 应用程序中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者未经授权访问内部网络资源。
如果您正在使用 @lobehub/chat 的 1.19.0 或更早版本,则可能受到此漏洞的影响。
建议立即将 @lobehub/chat 升级至 1.19.13 或更高版本。
目前尚未公开发现大规模利用活动,但存在被利用的风险。
请访问 @lobehub/chat 的官方网站或 GitHub 仓库,查找有关此漏洞的公告。