무슨 일이 있었나
LibreChat는 사용자가 baseURL을 설정하여 OpenAI 호환 API 엔드포인트를 사용자 정의할 수 있습니다. 0.8.4-rc1 이전에는 이 URL이 SSRF 검증 없이 서버 측 HTTP 요청으로 직접 전달됩니다. 인증된 공격자는 baseURL을 내부 네트워크 주소로 지정하여 클라우드 메타데이터 서비스, 내부 API 또는 기타 제한된 엔드포인트에 도달할 수 있으며, LibreChat 서버가 무의식적인 프록시로 작동합니다.
왜 중요한가
클라우드 배포된 LibreChat 인스턴스(일반적인 배포 패턴)에서 baseURL 필드를 통한 SSRF는 클라우드 인스턴스 메타데이터(AWS/GCP/Azure 자격 증명 엔드포인트), 벡터 데이터베이스 및 모델 서빙 API와 같은 내부 AI 인프라, 그리고 인터넷에서 도달할 수 없도록 의도된 백엔드 서비스를 노출할 수 있습니다. 이는 인증된 사용자에서 내부 네트워크 액세스로의 권한 상승입니다.
공격 경로
인증된 사용자는 사용자 정의 OpenAI 호환 API 엔드포인트 baseURL을 내부 네트워크 주소(예: http://169.254.169.254/ 또는 내부 마이크로서비스 URL)로 설정합니다. LibreChat는 SSRF 보호 없이(개인 IP 확인 없음, 체계 제한 없음, DNS 핀닝 없음) 이 URL로 HTTP 요청을 서버 측에서 구성하므로 사용자가 내부 서비스, 클라우드 메타데이터 엔드포인트 및 기타 백엔드 인프라를 탐사하고 상호작용할 수 있습니다.
영향받는 시스템
LibreChat < 0.8.4-rc1
완화 방안
LibreChat 0.8.4-rc1 이상으로 업그레이드하세요. 권고사항: https://github.com/danny-avila/LibreChat/security/advisories/GHSA-gc9r-88c3-7qhq