A flaw has been found in ItzCrazyKns Vane up to 1.12.1. This vulnerability affects unknown code of the file src/app/api/providers/route.ts of the component Model Provider API. This manipulation of the argument baseURL causes server-side request forgery. Remote exploitation of the attack is possible. The exploit has been published and may be used. The project was informed of the problem early through an issue report but has not responded yet.
A server-side request forgery (SSRF) vulnerability exists in ItzCrazyKns Vane up to version 1.12.1 in the Model Provider API component, allowing remote attackers to manipulate the baseURL parameter. This vulnerability enables attackers to make unauthorized requests from the affected server to internal or external resources.
تم اكتشاف ثغرة في ItzCrazyKns Vane تؤثر على مكون Model Provider API في الملف src/app/api/providers/route.ts. تسمح الثغرة للمهاجمين بمعالجة معامل baseURL لتنفيذ هجمات server-side request forgery (SSRF) من خادم التطبيق. تم نشر الاستغلال علناً والمشروع لم يستجب للإبلاغ عن المشكلة.
خادم جانبي لطلب التزييف (SSRF) موجود في ItzCrazyKns Vane حتى الإصدار 1.12.1 في مكون Model Provider API، مما يسمح للمهاجمين البعيدين بمعالجة معامل baseURL. تمكن هذه الثغرة المهاجمين من تقديم طلبات غير مصرح بها من الخادم المتأثر إلى الموارد الداخلية أو الخارجية.
Upgrade ItzCrazyKns Vane to version 1.12.2 or later immediately. Implement input validation and sanitization for the baseURL parameter. Deploy network segmentation to restrict outbound connections from the application server. Monitor and log all API requests to the Model Provider API endpoint. Consider implementing a Web Application Firewall (WAF) with SSRF detection rules.
قم بترقية ItzCrazyKns Vane إلى الإصدار 1.12.2 أو أحدث على الفور. قم بتنفيذ التحقق من صحة المدخلات والتطهير لمعامل baseURL. قم بنشر تقسيم الشبكة لتقييد الاتصالات الصادرة من خادم التطبيق. مراقبة وتسجيل جميع طلبات API إلى نقطة نهاية Model Provider API. فكر في تنفيذ جدار حماية تطبيق الويب (WAF) مع قواعد كشف SSRF.