漏洞描述:
NextChat是一个面向用户的GPT类应用程序,用户可以通过这个程序与GPT进行交互,2024年3月,互联网上披露CVE-2023-49785 NextChat cors SSRF 漏洞,攻击者可在无需登陆的情况下构造恶意请求造成SSRF,造成敏感信息泄漏等。
漏洞复现:
修复方案:
1.升级至最新版本
2.利用安全组设置其仅对可信地址开放
参考链接:
https://github.com/ChatGPTNextWeb/ChatGPT-Next-Web
原文始发于微信公众号(飓风网络安全):【漏洞复现】NextChat cors SSRF 漏洞(CVE-2023-49785)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论