概要
zhayujie chatgpt-on-wechat の CowAgent 2.0.4 に おいて、管理用 HTTP エンドポイント に 認証 が 欠如 して いる 脆弱性 が 存在 します。認証 なし で リモート から 管理 操作 に アクセス できる 可能性 が あります。プロジェクト に は Issue で 報告 済み です が、本稿 執筆 時点 で 応答 は ありません。chatgpt-on-wechat は WeChat 上 で ChatGPT を 利用 する ため の オープンソース プロジェクト で あり、個人 や 企業 で の チャットボット 運用 に 使用 されて います。
影響 の 範囲
管理 エンドポイント に 認証 が ない ため、攻撃者 は ボット の 設定 変更、API キー の 窃取、チャット 履歴 の 閲覧、ボット の 動作 の 操作 など を 認証 なし で 実行 できる 可能性 が あります。特に API キー が 漏洩 した 場合、攻撃者 は 被害者 の API クレジット を 不正 に 消費 でき、高額 な 請求 が 発生 する 恐れ が あります。また、ボット の 応答 内容 を 改ざん する こと で、利用者 に 対する フィッシング や ソーシャル エンジニアリング 攻撃 に 悪用 される 恐れ が あります。管理 インターフェース が 外部 ネットワーク に 公開 されて いる 場合、直ちに アクセス を 遮断 す べき です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.3(High) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-287 / CWE-306(認証 の 欠如) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| chatgpt-on-wechat CowAgent | zhayujie | 2.0.4 |
修正 バージョン と 回避策
- 修正: 修正 バージョン は 確認 されて いません
- 回避策: 管理 HTTP エンドポイント を ファイアウォール 等 で 外部 アクセス から 遮断 する
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。