Plattform
python
Komponente
cvep
Behoben in
4.0.1
CVE-2026-5001 describes an unrestricted upload vulnerability affecting PromtEngineer's localGPT. This flaw allows remote attackers to upload arbitrary files due to improper input validation in the do_POST function within backend/server.py. The affected version is up to commit 4d41c7d1713b16b216d8e062e51a5dd88b20b054. There is currently no official patch available for this vulnerability.
Eine Sicherheitslücke wurde in localGPT von PromptEngineer identifiziert, insbesondere in der Funktion do_POST der Datei backend/server.py, bis zur Version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Diese Schwachstelle ermöglicht das unbeschränkte Hochladen von Dateien, wodurch ein Remote-Angreifer möglicherweise bösartige Dateien auf das System hochladen kann. Da localGPT eine Continuous-Delivery-Strategie (Rolling Release) verwendet, können keine spezifischen betroffenen oder aktualisierten Versionen angegeben werden. Dies bedeutet, dass jede Instanz, die eine Version vor der Korrektur verwendet, potenziell anfällig ist. Die Veröffentlichung eines Exploits erhöht das Risiko von Angriffen.
Die Schwachstelle ermöglicht das unbeschränkte Hochladen von Dateien über eine HTTP-POST-Anfrage. Ein Remote-Angreifer kann dies ausnutzen, indem er eine POST-Anfrage mit einer bösartigen Datei sendet. Das Fehlen einer Validierung in der Funktion do_POST ermöglicht es, dass die Datei ohne Typ- oder Größenprüfung hochgeladen wird. Die öffentliche Verfügbarkeit des Exploits erleichtert die Ausnutzung durch Angreifer mit unterschiedlichen technischen Fähigkeiten. Die Remote-Natur der Ausnutzung bedeutet, dass der Angreifer keinen physischen Zugriff auf das betroffene System benötigt.
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
CVSS-Vektor
Aufgrund der Continuous-Delivery-Natur von localGPT gibt es kein spezifisches Patch-Update. Die empfohlene Mitigation ist, so schnell wie möglich auf die neueste verfügbare Version von localGPT zu aktualisieren. Obwohl keine spezifischen Versionen angegeben werden können, sollte jede neue Version Sicherheitskorrekturen enthalten. Darüber hinaus wird empfohlen, den Zugriff auf die localGPT-Instanz auf vertrauenswürdige Benutzer und Netzwerke zu beschränken. Die Überwachung der Serverprotokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Es wird dringend empfohlen, den Anbieter zu kontaktieren, um Informationen über die neuesten Updates und bewährte Sicherheitspraktiken zu erhalten.
Actualizar a una versión posterior a 4d41c7d1713b16b216d8e062e51a5dd88b20b054 que corrija la vulnerabilidad de carga irrestricta. Dado que el proyecto utiliza una estrategia de rolling release, se recomienda obtener la última versión disponible del repositorio.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass die Software kontinuierlich mit neuen Versionen aktualisiert wird, anstatt periodischer Hauptversionen.
Aufgrund des 'Rolling Release'-Modells ist es schwierig, die genaue Version zu bestimmen. Das Aktualisieren auf die neueste verfügbare Version ist der beste Weg, um das Risiko zu mindern.
Jede Art von Datei, einschließlich ausführbarer Dateien, bösartiger Skripte oder Dateien, die die Integrität des Systems gefährden könnten.
Trennen Sie das System vom Netzwerk, ändern Sie Passwörter und wenden Sie sich an einen Cybersecurity-Experten für Bewertung und Bereinigung.
Die Beschränkung des Zugriffs auf die localGPT-Instanz und die Überwachung der Serverprotokolle sind vorübergehende Maßnahmen, die dazu beitragen können, das Risiko zu verringern.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.