Apa yang terjadi
LibreChat memungkinkan pengguna untuk mengonfigurasi endpoint API yang kompatibel dengan OpenAI khusus dengan mengatur baseURL. Sebelum 0.8.4-rc1, URL ini dilewatkan langsung ke permintaan HTTP sisi server tanpa validasi SSRF apa pun. Penyerang terautentikasi dapat menunjukkan baseURL ke alamat jaringan internal untuk mencapai layanan metadata cloud, API internal, atau endpoint terbatas lainnya, dengan server LibreChat bertindak sebagai proxy yang tidak menyadari.
Mengapa penting
Dalam instans LibreChat yang di-deploy cloud (pola deployment umum), SSRF melalui bidang baseURL dapat mengekspos metadata instans cloud (endpoint kredensial AWS/GCP/Azure), infrastruktur AI internal seperti database vektor dan API penyajian model, dan layanan backend yang tidak dimaksudkan untuk dapat dijangkau dari internet. Ini adalah eskalasi hak istimewa dari pengguna terautentikasi ke akses jaringan internal.
Vektor serangan
Pengguna terautentikasi mengatur endpoint API yang kompatibel dengan OpenAI khusus baseURL ke alamat jaringan internal (misalnya, http://169.254.169.254/ atau URL microservice internal). LibreChat membuat permintaan HTTP ke URL ini sisi server tanpa perlindungan SSRF — tanpa pemeriksaan IP pribadi, tanpa pembatasan scheme, tanpa DNS pinning — memungkinkan pengguna untuk menyelidiki dan berinteraksi dengan layanan internal, endpoint metadata cloud, dan infrastruktur backend lainnya.
Sistem yang terdampak
LibreChat < 0.8.4-rc1
Mitigasi
Tingkatkan ke LibreChat 0.8.4-rc1 atau lebih baru. Advisory: https://github.com/danny-avila/LibreChat/security/advisories/GHSA-gc9r-88c3-7qhq