A vulnerability was identified in BigSweetPotatoStudio HyperChat up to 2.0.0-alpha.63. Affected by this issue is the function fetch of the file packages/core/src/http/aiProxyMiddleware.mts of the component AI Proxy Middleware. Such manipulation of the argument baseurl leads to server-side request forgery. The attack can be launched remotely. The exploit is publicly available and might be used. The project was informed of the problem early through an issue report but has not responded yet.
A server-side request forgery (SSRF) vulnerability exists in HyperChat's AI Proxy Middleware component through version 2.0.0-alpha.63, allowing remote attackers to manipulate the baseurl parameter. This vulnerability could enable unauthorized access to internal resources and sensitive data within affected systems.
تم اكتشاف ثغرة SSRF في مكون AI Proxy Middleware في ملف aiProxyMiddleware.mts حيث يتم معالجة معامل baseurl بشكل غير آمن. يسمح هذا للمهاجمين بإرسال طلبات HTTP مزيفة من الخادم للوصول إلى الموارد الداخلية والخدمات المحمية. الاستغلال متاح علناً والمشروع لم يستجب للإبلاغ عن المشكلة.
ثغرة في وسيط الوكيل الذكي لتطبيق HyperChat تسمح بهجمات SSRF عن طريق معالجة معاملات baseurl بشكل غير آمن. يمكن للمهاجمين البعيدين استغلال هذه الثغرة للوصول إلى الموارد الداخلية والبيانات الحساسة.
Upgrade HyperChat to a version beyond 2.0.0-alpha.63 immediately. Implement input validation and sanitization for the baseurl parameter. Deploy network segmentation to restrict outbound connections from the application server. Monitor and log all outbound requests from the AI Proxy Middleware component. Consider implementing a whitelist of allowed destination URLs.
قم بترقية HyperChat إلى إصدار أحدث من 2.0.0-alpha.63 فوراً. طبق التحقق من صحة المدخلات وتنظيفها لمعامل baseurl. قم بنشر تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. راقب وسجل جميع الطلبات الصادرة من مكون وسيط الوكيل الذكي. فكر في تطبيق قائمة بيضاء للعناوين المسموح بها.