ChatGPT是一个基于OpenAI ChatGPT项目API的可视化界面站点。PHP版调用OpenAI接口进行问答和画图，采用Stream流模式通信，一边生成一边输出。前端采用EventSource，支持Markdown格式解析，支持公式显示，代码有着色处理，支持画图。页面UI简洁，支持上下文连续会话。

漏洞详情
ChatGPT 存在服务器端请求伪造漏洞（CVE-2024-27564）,由于ChatGPT的pictureproxy.php 接口处没有对url参数进行校验，攻击者可以通过url参数注入任意URL让应用发出任意请求。此漏洞可以在不需要身份验证的情况下触发，由于易受攻击的函数未对参数执行足够的校验和，因此污点从变量引入到受污染的函数中，并在执行该函数后向参数指定的 URL 发送请求，最终导致 SSRF 漏洞。

影响范围
php version: 7.x

漏洞复现


修复建议
厂商已发布漏洞修复版本，请根据厂商修复建议进行修复。

产品支持
云安服-安全监测平台：默认支持该产品的指纹识别，已更新漏洞检测规则，已支持该漏洞的在线检测。

参考链接
https://github.com/dirk1983/chatgpt/issues/114