Plateforme
python
Composant
cvep
Corrigé dans
4.0.1
La CVE-2026-5000 est une vulnérabilité d'authentification affectant localGPT jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Plus précisément, la fonction LocalGPTHandler du fichier backend/server.py présente une faille au niveau de l'API Endpoint, permettant un accès non autorisé via la manipulation de l'argument BaseHTTPRequestHandler. L'exploitation peut se faire à distance. Aucun correctif n'est actuellement disponible.
Une vulnérabilité de sécurité a été détectée dans localGPT de PromptEngineer jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Cette vulnérabilité affecte la fonction LocalGPTHandler dans le fichier backend/server.py, plus précisément le composant du point d'accès API. La manipulation de l'argument BaseHTTPRequestHandler entraîne une absence d'authentification, permettant à un attaquant distant d'accéder au système sans la vérification appropriée. En raison du modèle de publication continue de localGPT, les informations de version spécifiques concernant les versions affectées ou mises à jour ne sont pas disponibles de manière traditionnelle. Le fournisseur a été contacté.
La vulnérabilité réside dans la fonction LocalGPTHandler, qui gère les requêtes API. Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes malveillantes qui manipulent l'argument BaseHTTPRequestHandler, contournant ainsi les mécanismes d'authentification. Le fait que l'exploitation soit à distance signifie qu'un attaquant n'a pas besoin d'un accès physique au système pour le compromettre. Cela augmente considérablement le risque, car un attaquant peut lancer des attaques depuis n'importe où disposant d'une connexion Internet. L'absence d'authentification permet à l'attaquant d'accéder à des données sensibles ou d'exécuter des commandes sur le système, ce qui peut avoir des conséquences graves.
Organizations deploying localGPT in production environments, particularly those with limited network segmentation or inadequate WAF protection, are at significant risk. Shared hosting environments where multiple users share the same localGPT instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• python / server:
ps aux | grep LocalGPTHandler• python / server:
journalctl -u localgpt -f | grep "BaseHTTPRequestHandler"• generic web:
curl -I http://<localgpt_ip>/api/endpoint• generic web:
grep -r "BaseHTTPRequestHandler" /var/log/nginx/access.logdisclosure
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
CISA SSVC
Vecteur CVSS
Étant donné la nature de publication continue de localGPT, une correction spécifique sous forme de publication ponctuelle n'est pas actuellement disponible. La recommandation principale est de surveiller de près les mises à jour fournies par le fournisseur et d'appliquer tous les correctifs ou configurations de sécurité publiés. La mise en œuvre de pare-feu et de systèmes de détection d'intrusion peut aider à atténuer le risque d'exploitation. De plus, restreindre l'accès à l'API aux utilisateurs et applications autorisés est une pratique cruciale. Nous recommandons fortement de consulter la documentation officielle de localGPT pour obtenir les meilleures pratiques de sécurité et toutes les instructions spécifiques fournies par le fournisseur.
Mettez à jour vers une version ultérieure à celle spécifiée dans le CVE qui implémente une authentification appropriée sur le point de terminaison de l'API. Étant donné qu'aucune version spécifique n'est mentionnée, il est recommandé de contacter le fournisseur pour obtenir une version corrigée ou de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'authentification et l'autorisation, sur le point de terminaison affecté.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que le logiciel est constamment mis à jour avec de nouvelles fonctionnalités et des corrections, sans versions fixes.
Si vous utilisez une version de localGPT antérieure à 4d41c7d1713b16b216d8e062e51a5dd88b20b054, vous êtes probablement affecté. Surveillez les mises à jour du fournisseur.
Implémentez des pare-feu et restreignez l'accès à l'API.
Contactez directement le fournisseur de localGPT.
Elle permet un accès non autorisé aux données sensibles et l'exécution de commandes malveillantes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.