漏洞标题
lobe-chat 中的 API 密钥泄露
漏洞描述信息
Lobe Chat 是一个开源的LLMs/AI聊天框架。在受影响版本中,如果攻击者能够成功通过单点登录(SSO)/访问代码进行身份验证,他们可以通过修改前端的基本URL到自己的攻击URL,并在服务器端设置请求,从而获取真实的后端API密钥。这个问题已经在版本 0.162.25 中得到解决。建议用户进行升级。对于这个漏洞,目前没有已知的补救措施。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
通过用户控制密钥绕过授权机制
漏洞标题
API Key Leak in lobe-chat
漏洞描述信息
Lobe Chat is an open-source LLMs/AI chat framework. In affected versions if an attacker can successfully authenticate through SSO/Access Code, they can obtain the real backend API Key by modifying the base URL to their own attack URL on the frontend and setting up a server-side request. This issue has been addressed in version 0.162.25. Users are advised to upgrade. There are no known workarounds for this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
漏洞类别
信息暴露
漏洞标题
Lobe Chat 安全漏洞
漏洞描述信息
Lobe Chat是一个开源、高性能的聊天机器人框架。 Lobe Chat 0.162.25之前版本存在安全漏洞,该漏洞源于如果攻击者能够通过SSO/Access Code成功进行身份验证,他们可以通过在前端将基本URL修改为他们自己的攻击URL并设置服务器端请求来获取真正的后端API密钥。
CVSS信息
N/A
漏洞类别
其他