何が起きたか
LobeHub 2.1.57より前では、app.lobehub.comの/webapi/proxyエンドポイントはPOSTボディ内のURLを受け入れ、認証なしでサーバー側でそれをフェッチします。攻撃者はこれを使用して内部ネットワーク、クラウドメタデータエンドポイント(例えばAWS IMDS)、その他の内部サービスに対して任意のサーバー側リクエストを実行できます。CVSS 9.0 Critical(2026-06-23公開)。
なぜ重要か
LobeHubは人気のあるAIエージェントプラットフォーム(数十万ユーザー)です。クラウドホスト型サービス上の未認証SSRFにより、攻撃者はクラウドインフラストラクチャメタデータサービスに到達でき、IAM クレデンシャルを流出させ、内部AIインフラストラクチャにピボットできます(モデルエンドポイント、ベクトルデータベース、エージェントツールバックエンド)。
攻撃経路
未認証POST を/webapi/proxyに攻撃者が制御するURLをリクエストボディに。サーバーがURLをフェッチし、内部サービスとクラウドメタデータエンドポイントへのSSRFを有効化
影響を受けるシステム
LobeHub < 2.1.57
緩和策
LobeHub 2.1.57にアップグレードしてください。Advisory: https://github.com/lobehub/lobehub/security/advisories/GHSA-xmwj-c75x-6346