A security flaw has been discovered in ChatGPTNextWeb NextChat up to 2.16.1. Affected by this issue is the function proxyHandler of the file app/api/[provider]/[...path]/route.ts. The manipulation results in server-side request forgery. The attack may be performed from remote. The exploit has been released to the public and may be used for attacks. The project was informed of the problem early through an issue report but has not responded yet.
ChatGPTNextWeb NextChat versions up to 2.16.1 contain a server-side request forgery (SSRF) vulnerability in the proxyHandler function that allows remote attackers to manipulate server requests. This vulnerability has been publicly disclosed and actively exploited, posing significant risk to organizations using affected versions.
ثغرة تزييف طلبات من جانب الخادم (SSRF) في دالة proxyHandler بملف app/api/[provider]/[...path]/route.ts تسمح للمهاجمين البعيدين بمعالجة طلبات الخادم بشكل غير مصرح. تم إصدار استغلال عام للثغرة وقد يتم استخدامه في هجمات نشطة. فريق المشروع لم يستجب بعد للإخطار المبكر عن المشكلة.
إصدارات ChatGPTNextWeb NextChat حتى 2.16.1 تحتوي على ثغرة تزييف طلبات من جانب الخادم في دالة proxyHandler تسمح للمهاجمين البعيدين بمعالجة طلبات الخادم. تم الكشف عن هذه الثغرة علنًا واستغلالها بنشاط، مما يشكل خطرًا كبيرًا على المنظمات التي تستخدم الإصدارات المتأثرة.
Immediately upgrade ChatGPTNextWeb NextChat to version 2.16.2 or later. Implement network segmentation to restrict outbound connections from affected servers. Deploy Web Application Firewall (WAF) rules to detect and block SSRF attack patterns. Monitor API logs for suspicious proxy requests targeting internal resources or metadata endpoints.
قم بالترقية الفورية إلى إصدار ChatGPTNextWeb NextChat 2.16.2 أو أحدث. طبق تقسيم الشبكة لتقييد الاتصالات الصادرة من الخوادم المتأثرة. نشر قواعد جدار تطبيقات الويب لكشف وحجب أنماط هجمات تزييف الطلبات. راقب سجلات API بحثًا عن طلبات وكيل مريبة تستهدف الموارد الداخلية أو نقاط نهاية البيانات الوصفية.