Plateforme
python
Composant
cvep
Corrigé dans
4.0.1
La CVE-2026-5001 est une vulnérabilité d'upload non restreint affectant localGPT jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Plus précisément, la fonction do_POST du fichier backend/server.py est compromise. Cette faille permet une exécution à distance. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité de sécurité a été identifiée dans localGPT de PromptEngineer, spécifiquement dans la fonction do_POST du fichier backend/server.py, jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Cette vulnérabilité permet le téléchargement non restreint de fichiers, ce qui pourrait permettre à un attaquant distant de télécharger des fichiers malveillants sur le système. Étant donné que localGPT utilise une stratégie de publication continue (rolling release), des versions spécifiques affectées ou mises à jour ne peuvent pas être spécifiées. Cela signifie que toute instance utilisant une version antérieure à la correction est potentiellement vulnérable. La publication d'un exploit public augmente le risque d'attaques.
La vulnérabilité permet le téléchargement non restreint de fichiers via une requête HTTP POST. Un attaquant distant peut exploiter cette vulnérabilité en envoyant une requête POST avec un fichier malveillant. L'absence de validation dans la fonction do_POST permet au fichier d'être téléchargé sans vérification de type ou de taille. La disponibilité publique de l'exploit facilite l'exploitation par des attaquants ayant différents niveaux de compétences techniques. La nature distante de l'exploitation signifie que l'attaquant n'a pas besoin d'un accès physique au système affecté.
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
En raison de la nature de publication continue de localGPT, il n'y a pas de mise à jour de correctif spécifique disponible. La mitigation recommandée est de mettre à jour vers la dernière version disponible de localGPT dès que possible. Bien que des versions spécifiques ne puissent pas être spécifiées, chaque nouvelle version devrait inclure des corrections de sécurité. De plus, il est recommandé de limiter l'accès à l'instance localGPT aux utilisateurs et réseaux de confiance. Surveiller les journaux du serveur à la recherche d'activités suspectes peut également aider à détecter et à répondre à d'éventuelles attaques. Il est fortement recommandé de contacter le fournisseur pour obtenir des informations sur les dernières mises à jour et les meilleures pratiques de sécurité.
Actualizar a una versión posterior a 4d41c7d1713b16b216d8e062e51a5dd88b20b054 que corrija la vulnerabilidad de carga irrestricta. Dado que el proyecto utiliza una estrategia de rolling release, se recomienda obtener la última versión disponible del repositorio.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cela signifie que le logiciel est continuellement mis à jour avec de nouvelles versions au lieu de publications majeures périodiques.
En raison du modèle 'rolling release', il est difficile de déterminer la version exacte. Mettre à jour vers la dernière version disponible est le meilleur moyen d'atténuer le risque.
Tout type de fichier, y compris des exécutables, des scripts malveillants ou des fichiers susceptibles de compromettre l'intégrité du système.
Déconnectez le système du réseau, modifiez les mots de passe et contactez un professionnel de la sécurité informatique pour une évaluation et un nettoyage.
Limiter l'accès à l'instance localGPT et surveiller les journaux du serveur sont des mesures temporaires qui peuvent aider à réduire le risque.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.