NextChat SSRF漏洞

2024年12月23日14:09:11评论8 views字数 373阅读1分14秒阅读模式

0x00 漏洞编号

0x01 危险等级

0x02 漏洞概述

NextChat是一款开源的AI聊天应用项目。

0x03 漏洞详情

CVE-2024-38514

漏洞类型：SSRF

影响：敏感信息泄漏

简述：NextChat的/api/webdav/chatgpt-next-web/backup.json接口存在SSRF漏洞，由于WebDav API端点上的参数未得到验证，攻击者可通过该漏洞获取敏感信息，或以NextChat用户为目标并使其在浏览器中执行任意JavaScript代码。

0x04 影响版本

0x05 POC状态

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://nextchat.dev/

原文始发于微信公众号（浅安安全）：漏洞预警 | NextChat SSRF漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

CVE-2024-38514