Bypass de seguretat de Lobe Chat
26/09/2024
CVE-2024-47066
CRÍTIC (9,0)
CVSS3: 8,1
El Lobe Chat podria permetre que un atacant remot autenticat eludeixi les restriccions de seguretat, causades per una solució incompleta per a una vulnerabilitat de sol·licitud del servidor implementada a src/app/api/proxy/route.ts. En proporcionar un URL maliciós extern que redirigeixi a recursos interns, com ara una xarxa privada o una adreça de bucle, un atacant podria no considerar la redirecció i evitar la implementació de la protecció.
Sistemes Afectats
- lobehub Lobe Chat – 1.19.12
Remediació
Actualitzeu a la darrera versió de Lobe Chat (1.19.13 o posterior), disponible al Repositori GIT de Lobe Chat. Vegeu-ne les Referències.
Referències
- https://github.com/lobehub/lobe-chat/security/advisories/GHSA-3fc8-2r3f-8wrg
- https://github.com/lobehub/lobe-chat/security/advisories/GHSA-mxhq-xw3g-rphc
- https://github.com/lobehub/lobe-chat/commit/e960a23b0c69a5762eb27d776d33dac443058faf
- https://github.com/lobehub/lobe-chat/blob/main/src/app/api/proxy/route.ts
