漏洞预警 | NextChat SSRF漏洞

浅安 浅安安全 2024-12-21 00:02

0x00 漏洞编号
– # CVE-2024-38514

0x01 危险等级
– 高危

0x02 漏洞概述

NextChat是一款开源的AI聊天应用项目。

0x03 漏洞详情

CVE-2024-38514

漏洞类型：
SSRF

影响：
敏感信息泄漏

简述：
NextChat的/api/webdav/chatgpt-next-web/backup.json接口存在SSRF漏洞，由于WebDav API端点上的参数未得到验证，攻击者可通过该漏洞获取敏感信息，或以NextChat用户为目标并使其在浏览器中执行任意JavaScript代码。

0x04 影响版本
– NextChat v2.12.3

0x05POC状态
– 已公开

0x06修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://nextchat.dev/