Plattform
python
Komponente
cvep
Behoben in
4.0.1
CVE-2026-5000 is a security vulnerability identified in PromtEngineer localGPT, specifically within the API Endpoint component's LocalGPTHandler function in backend/server.py. This vulnerability stems from a missing authentication check, allowing attackers to manipulate the BaseHTTPRequestHandler. The vulnerability impacts versions up to 4d41c7d1713b16b216d8e062e51a5dd88b20b054 and can be exploited remotely. Due to the product's rolling release model, specific fixed versions are not available.
Eine Sicherheitslücke wurde in PromptEngineer's localGPT bis zur Version 4d41c7d1713b16b216d8e062e51a5dd88b20b054 entdeckt. Diese Schwachstelle betrifft die Funktion LocalGPTHandler in der Datei backend/server.py, insbesondere die API Endpoint Komponente. Die Manipulation des Arguments BaseHTTPRequestHandler führt zu einem fehlenden Authentifizierungsmechanismus, der es einem Remote-Angreifer ermöglicht, ohne ordnungsgemäße Verifizierung Zugriff zu erhalten. Aufgrund des Rolling-Release-Modells von localGPT sind traditionelle versionsspezifische Informationen zu betroffenen oder aktualisierten Releases nicht verfügbar. Der Anbieter wurde kontaktiert.
Die Schwachstelle liegt in der Funktion LocalGPTHandler, die API-Anfragen verarbeitet. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er bösartige Anfragen sendet, die das Argument BaseHTTPRequestHandler manipulieren und so Authentifizierungsmechanismen umgehen. Da die Ausnutzung remote erfolgt, benötigt ein Angreifer keinen physischen Zugriff auf das System, um es zu kompromittieren. Dies erhöht das Risiko erheblich, da ein Angreifer Angriffe von überall mit einer Internetverbindung starten kann. Das Fehlen einer Authentifizierung ermöglicht es dem Angreifer, auf sensible Daten zuzugreifen oder Befehle auf dem System auszuführen, was schwerwiegende Folgen haben kann.
Organizations deploying localGPT in production environments, particularly those with limited network segmentation or inadequate WAF protection, are at significant risk. Shared hosting environments where multiple users share the same localGPT instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• python / server:
ps aux | grep LocalGPTHandler• python / server:
journalctl -u localgpt -f | grep "BaseHTTPRequestHandler"• generic web:
curl -I http://<localgpt_ip>/api/endpoint• generic web:
grep -r "BaseHTTPRequestHandler" /var/log/nginx/access.logdisclosure
Exploit-Status
EPSS
0.10% (27% Perzentil)
CISA SSVC
CVSS-Vektor
Angesichts der Rolling-Release-Natur von localGPT ist derzeit keine spezifische Behebung in Form eines Point-Release verfügbar. Die primäre Empfehlung ist, die Updates des Anbieters genau zu überwachen und alle veröffentlichten Sicherheitspatches oder Konfigurationen anzuwenden. Die Implementierung von Firewalls und Intrusion Detection Systems kann dazu beitragen, das Risiko einer Ausnutzung zu mindern. Darüber hinaus ist es eine entscheidende Praxis, den API-Zugriff auf autorisierte Benutzer und Anwendungen zu beschränken. Wir empfehlen dringend, die offizielle Dokumentation von localGPT für bewährte Sicherheitspraktiken und alle spezifischen Anweisungen des Anbieters zu konsultieren.
Aktualisieren Sie auf eine Version, die neuer ist als in der CVE angegeben, und implementieren Sie eine angemessene Authentifizierung am API-Endpunkt. Da keine spezifische Patch-Version genannt wird, wird empfohlen, den Anbieter zu kontaktieren, um eine korrigierte Version zu erhalten, oder zusätzliche Sicherheitsmaßnahmen wie Authentifizierung und Autorisierung am betroffenen Endpunkt zu implementieren.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass die Software ständig mit neuen Funktionen und Fehlerbehebungen aktualisiert wird, ohne feste Versionen.
Wenn Sie eine Version von localGPT vor 4d41c7d1713b16b216d8e062e51a5dd88b20b054 verwenden, sind Sie wahrscheinlich betroffen. Überwachen Sie die Updates des Anbieters.
Implementieren Sie Firewalls und beschränken Sie den Zugriff auf die API.
Kontaktieren Sie den localGPT-Anbieter direkt.
Sie ermöglicht unbefugten Zugriff auf sensible Daten und die Ausführung bösartiger Befehle.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.