PromtEngineer localGPT API Endpoint server.py LocalGPTHandler authentification manquante
Plateforme
python
Composant
cvep
Corrigé dans
4.0.1
La CVE-2026-5000 est une vulnérabilité d'authentification affectant localGPT jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Plus précisément, la fonction LocalGPTHandler du fichier backend/server.py présente une faille au niveau de l'API Endpoint, permettant un accès non autorisé via la manipulation de l'argument BaseHTTPRequestHandler. L'exploitation peut se faire à distance. Aucun correctif n'est actuellement disponible.
Détecte cette CVE dans ton projet
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
Une vulnérabilité de sécurité a été détectée dans localGPT de PromptEngineer jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Cette vulnérabilité affecte la fonction LocalGPTHandler dans le fichier backend/server.py, plus précisément le composant du point d'accès API. La manipulation de l'argument BaseHTTPRequestHandler entraîne une absence d'authentification, permettant à un attaquant distant d'accéder au système sans la vérification appropriée. En raison du modèle de publication continue de localGPT, les informations de version spécifiques concernant les versions affectées ou mises à jour ne sont pas disponibles de manière traditionnelle. Le fournisseur a été contacté.
Contexte d'Exploitation
La vulnérabilité réside dans la fonction LocalGPTHandler, qui gère les requêtes API. Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes malveillantes qui manipulent l'argument BaseHTTPRequestHandler, contournant ainsi les mécanismes d'authentification. Le fait que l'exploitation soit à distance signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour le compromettre. Cela augmente considérablement le risque, car un attaquant peut lancer des attaques depuis n'importe où disposant d'une connexion Internet. L'absence d'authentification permet à l'attaquant d'accéder à des données sensibles ou d'exécuter des commandes sur le système, ce qui peut avoir des conséquences graves.
Qui Est à Risquetraduction en cours…
Organizations deploying localGPT in production environments, particularly those with limited network segmentation or inadequate WAF protection, are at significant risk. Shared hosting environments where multiple users share the same localGPT instance are also vulnerable, as a compromise of one user's account could potentially impact others.
Étapes de Détectiontraduction en cours…
• python / server:
ps aux | grep LocalGPTHandler• python / server:
journalctl -u localgpt -f | grep "BaseHTTPRequestHandler"• generic web:
curl -I http://<localgpt_ip>/api/endpoint• generic web:
grep -r "BaseHTTPRequestHandler" /var/log/nginx/access.logChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Faible — déni de service partiel ou intermittent.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
Étant donné la nature de publication continue de localGPT, une correction spécifique sous forme de publication ponctuelle n'est pas actuellement disponible. La recommandation principale est de surveiller de près les mises à jour fournies par le fournisseur et d'appliquer tous les correctifs ou configurations de sécurité publiés. La mise en œuvre de pare-feu et de systèmes de détection d'intrusion peut aider à atténuer le risque d'exploitation. De plus, restreindre l'accès à l'API aux utilisateurs et applications autorisés est une pratique cruciale. Nous recommandons fortement de consulter la documentation officielle de localGPT pour obtenir les meilleures pratiques de sécurité et toutes les instructions spécifiques fournies par le fournisseur.
Comment corriger
Mettez à jour vers une version ultérieure à celle spécifiée dans le CVE qui implémente une authentification appropriée sur le point de terminaison de l'API. Étant donné qu'aucune version spécifique n'est mentionnée, il est recommandé de contacter le fournisseur pour obtenir une version corrigée ou de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'authentification et l'autorisation, sur le point de terminaison affecté.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-5000 dans localGPT ?
Cela signifie que le logiciel est constamment mis à jour avec de nouvelles fonctionnalités et des corrections, sans versions fixes.
Suis-je affecté(e) par CVE-2026-5000 dans localGPT ?
Si vous utilisez une version de localGPT antérieure à 4d41c7d1713b16b216d8e062e51a5dd88b20b054, vous êtes probablement affecté. Surveillez les mises à jour du fournisseur.
Comment corriger CVE-2026-5000 dans localGPT ?
Implémentez des pare-feu et restreignez l'accès à l'API.
CVE-2026-5000 est-il activement exploité ?
Contactez directement le fournisseur de localGPT.
Où trouver l'avis officiel de localGPT pour CVE-2026-5000 ?
Elle permet un accès non autorisé aux données sensibles et l'exécution de commandes malveillantes.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.