事件经过
LibreChat 允许用户通过设置 baseURL 来配置自定义的 OpenAI 兼容 API 端点。在 0.8.4-rc1 之前,此 URL 直接传递给服务器端 HTTP 请求,无任何 SSRF 验证。已认证的攻击者可以将 baseURL 指向内部网络地址以访问云元数据服务、内部 API 或其他受限制的端点,LibreChat 服务器充当无意的代理。
影响分析
在云部署的 LibreChat 实例中(常见的部署模式),通过 baseURL 字段的 SSRF 可以暴露云实例元数据(AWS/GCP/Azure 凭证端点)、内部 AI 基础设施(如向量数据库和模型服务 API)以及不打算从互联网可访问的后端服务。这是从已认证用户到内部网络访问的权限提升。
攻击途径
已认证用户将自定义 OpenAI 兼容 API 端点 baseURL 设置为内部网络地址(例如 http://169.254.169.254/ 或内部微服务 URL)。LibreChat 构造对此 URL 的服务器端 HTTP 请求,无 SSRF 保护 — 无私有 IP 检查、无方案限制、无 DNS 钉住 — 允许用户探测和与内部服务、云元数据端点和其他后端基础设施交互。
受影响系统
LibreChat < 0.8.4-rc1
缓解措施
升级到 LibreChat 0.8.4-rc1 或更高版本。公告:https://github.com/danny-avila/LibreChat/security/advisories/GHSA-gc9r-88c3-7qhq