ChatGPT-Next-Web 是一种基于 OpenAI 的 GPT-3.5、GPT-4.0 语言模型的产品。它是设计用于 Web 环境中的聊天机器人，旨在为用户提供自然语言交互和智能对话的能力。

漏洞详情
ChatGPT-Next-Web 的API ***/***/cors上存在 SSRF 漏洞(CVE-2023-49785)，可被用于从服务器端发起任意网络请求并取得响应内容。该SSRF漏洞支持以GET、POST方法从部署 ChatGPT-Next-Web 部署的机器（或 docker 容器）对内网或外网的任意 HTTP URL 发起请求，进而造成内网服务暴露在公网的风险。

影响范围
NextChat <= 2.11.2

漏洞复现


修复建议
厂商已发布漏洞修复版本，请根据厂商修复建议进行修复

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://www.horizon3.ai/attack-research/attack-blogs/nextchat-an-ai-chatbot-that-lets-you-talk-to-anyone-you-want-to/