CVE-2024-11603

Nome do Software Vulnerável e Versões Afetadas lm-sys/fastchat versão 0.2.36

Descrição Existe uma vulnerabilidade de Falsificação de Solicitação do Lado do Servidor (SSRF), permitindo que um atacante envie solicitações manipuladas devido à validação insuficiente do parâmetro de caminho no endpoint "/queue/join?". Isso pode levar ao acesso não autorizado a redes internas ou ao endpoint de metadados da AWS, potencialmente expondo dados sensíveis e comprometendo servidores internos.

Recomendações Para a versão 0.2.36 do lm-sys/fastchat, considere desabilitar o acesso ao endpoint "/queue/join?" até que uma correção esteja disponível para prevenir a exploração. Restringir o uso do endpoint vulnerável pode ajudar a minimizar o risco de acesso não autorizado a redes internas.