Plateforme
python
Composant
cvep
Corrigé dans
4.0.1
La CVE-2026-5002 est une vulnérabilité d'injection affectant localGPT, spécifiquement la fonction routeusing_overviews dans backend/server.py. Cette vulnérabilité permet une exécution de code à distance. Les versions affectées incluent jusqu'à la version 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Aucun correctif officiel n'est actuellement disponible.
Une vulnérabilité d'injection a été identifiée dans localGPT de PromptEngineer, spécifiquement au sein de la fonction routeusing_overviews du fichier backend/server.py. Cette vulnérabilité, cataloguée sous CVE-2026-5002, permet à un attaquant distant de manipuler l'application. La sévérité CVSS est de 7.3, indiquant un risque élevé. Cette vulnérabilité est due à un manque de sanitisation adéquate des entrées, permettant l'injection de code malveillant. Étant donné que localGPT utilise un système de publication continue, les informations de version affectées peuvent être dynamiques et difficiles à identifier. Il est crucial de surveiller les mises à jour et d'appliquer les correctifs dès qu'ils sont disponibles, bien qu'aucune correction officielle n'ait été fournie.
La vulnérabilité CVE-2026-5002 dans localGPT permet une exploitation distante en raison du manque de validation des entrées dans la fonction routeusing_overviews. Un attaquant peut envoyer des requêtes spécialement conçues pour injecter du code malveillant, qui peut ensuite être exécuté par le serveur. Le fait que la vulnérabilité ait été divulguée publiquement augmente le risque d'exploitation, car les attaquants peuvent avoir accès à des informations sur la façon de l'exploiter. L'architecture de publication continue de localGPT complique la gestion des versions et l'application des correctifs, ce qui nécessite une vigilance constante et une réponse rapide aux mises à jour de sécurité.
Organizations and individuals utilizing localGPT for local LLM prompting are at risk. This includes developers experimenting with LLMs, researchers building custom applications, and anyone relying on localGPT for sensitive tasks. The rolling release model means that even users who believe they are running the latest version may still be vulnerable if they have not implemented appropriate mitigation strategies.
• python: Monitor the backend/server.py file for unauthorized modifications. Use file integrity monitoring tools to detect changes.
Get-ChildItem -Path "C:\path\to\localGPT\backend\server.py" -Recurse | Get-FileHash | Where-Object {$_.Hash -ne "<original_hash>"} • generic web: Examine access logs for unusual requests targeting the LLM Prompt Handler endpoint. Look for patterns indicative of injection attempts.
grep -i "injection|malicious" /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
En raison de l'absence de correctif officiel pour CVE-2026-5002, l'atténuation principale consiste à limiter l'exposition de l'application localGPT aux réseaux non fiables. Il est fortement recommandé d'examiner le code source pour identifier et corriger la vulnérabilité d'injection. La mise en œuvre de contrôles d'entrée stricts, tels que la validation et l'échappement des données, peut aider à prévenir l'exploitation. La surveillance des journaux d'application à la recherche d'activités suspectes est également une pratique importante. Envisagez de désactiver temporairement la fonction routeusing_overviews si elle n'est pas essentielle à la fonctionnalité actuelle, jusqu'à ce qu'une solution soit publiée. L'absence de correctif officiel souligne l'importance de la diligence raisonnable en matière de sécurité.
Actualice a una versión posterior a 4d41c7d1713b16b216d8e062e51a5dd88b20b054. No hay una versión fija específica disponible, por lo que se recomienda monitorear las actualizaciones del proyecto y aplicar la última versión disponible.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est un identifiant unique pour cette vulnérabilité de sécurité.
Si vous utilisez une version antérieure, vous pourriez être vulnérable aux attaques à distance.
Actuellement, aucun correctif officiel n'a été publié. Nous vous recommandons de surveiller les mises à jour.
Limitez l'exposition de votre application aux réseaux non fiables et restez informé des mises à jour de sécurité.
Consultez les forums de la communauté localGPT et les sites Web de sécurité pour obtenir des mises à jour.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.