中国·开yun体育(官方)入口-APP下载安装·Maigoo百科

关于ChatGPT-Next-Web服务器请求伪造漏洞(CVE-2023-49785)的安去全告知

时间:2024-03-22 18:12:25来源:信息安全部作者:开yun体育官网入口

ChatGPT-Next-Web 是一种基于 OpenAI 的 GPT-3.5、GPT-4.0 语言模型的产品。它是设计用于 Web 环境中的聊天机器人,旨在为用户提供自然语言交互和智能对话的能力。

漏洞详情
ChatGPT-Next-Web 的API ***/***/cors上存在 SSRF 漏洞(CVE-2023-49785),可被用于从服务器端发起任意网络请求并取得响应内容。该SSRF漏洞支持以GET、POST方法从部署 ChatGPT-Next-Web 部署的机器(或 docker 容器)对内网或外网的任意 HTTP URL 发起请求,进而造成内网服务暴露在公网的风险。

影响范围
NextChat <= 2.11.2

漏洞复现
image006.png

修复建议
厂商已发布漏洞修复版本,请根据厂商修复建议进行修复

产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。

参考链接
https://www.horizon3.ai/attack-research/attack-blogs/nextchat-an-ai-chatbot-that-lets-you-talk-to-anyone-you-want-to/

XML 地图