PT-2024-25012 · Openai · Openai Api
Yyzsec
·
Publicado
2024-11-26
·
Atualizado
2025-09-23
·
CVE-2024-32965
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do lobe-chat anteriores à 1.19.13
Descrição
O Lobe Chat é uma estrutura de chat com IA de código aberto. A vulnerabilidade permite que um invasor crie solicitações maliciosas para causar SSRF sem precisar fazer login, atacar serviços de intranet e vazar informações confidenciais. O cabeçalho do token JWT X-Lobe-Chat-Auth, que armazena o endereço do proxy e a chave da API da OpenAI, pode ser modificado para escanear uma rede interna no ambiente lobe-web alvo.
Recomendações
Para versões anteriores à 1.19.13, atualize para a versão 1.19.13 ou posterior para resolver a vulnerabilidade. Como solução temporária, considere restringir o acesso ao cabeçalho
X-Lobe-Chat-Auth e à chave da API da OpenAI para minimizar o risco de exploração. Evite usar o cabeçalho X-Lobe-Chat-Auth e a chave da API da OpenAI no endpoint da API afetado até que a vulnerabilidade seja resolvida.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openai Api