2024年3月14日,网上更新披露了一个NextChat服务器端请求伪造漏洞(CVE-2023-49785),NextChat 是一个面向用户的GPT类应用程序,用户可以通过这个程序与GPT进行交互,请各位用户尽快安装漏洞补丁。
漏洞风险:2.11.2及之前的版本容易受到服务器端请求伪造和跨站点脚本攻击的影响。此漏洞允许对内部HTTP端点进行读取访问,但也允许使用HTTP POST、PUT和其他方法进行写入访问。攻击者还可以利用此漏洞通过这些开放代理转发针对其他互联网目标的恶意流量,从而掩盖其源IP,用户可以避免将应用程序暴露于公共互联网,或者如果将应用程序暴露于互联网,请确保它是一个孤立的网络,无法访问任何其他内部资源。
风险等级:高风险。
影响范围:
NextChat < 2.11.2
修复建议:
1、升级至最新版本。
2、利用安全组设置其仅对可信地址开放。
进行安全更新方法:
https://github.com/ChatGPTNextWeb/ChatGPT-Next-Web/releases
