PromtEngineer localGPT server.py do_POST अप्रतिबंधित अपलोड (unrestricted upload)

PromptEngineer के localGPT में, फ़ाइल backend/server.py में फ़ंक्शन do_POST में एक सुरक्षा भेद्यता पाई गई है, जो संस्करण 4d41c7d1713b16b216d8e062e51a5dd88b20b054 तक है। यह भेद्यता बिना किसी प्रतिबंध के फ़ाइल अपलोड करने की अनुमति देती है, जिससे एक दूरस्थ हमलावर सिस्टम पर दुर्भावनापूर्ण फ़ाइलें अपलोड कर सकता है। चूंकि localGPT एक रोलिंग रिलीज़ रणनीति का उपयोग करता है, इसलिए प्रभावित या अपडेट किए गए विशिष्ट संस्करणों को निर्दिष्ट नहीं किया जा सकता है। इसका मतलब है कि किसी भी इंस्टेंस को जो सुधार से पहले के संस्करण चला रहा है, वह संभावित रूप से असुरक्षित है। सार्वजनिक रूप से एक शोषण जारी करने से हमलों का जोखिम बढ़ जाता है।

1. आरक्षित2026-03-27
2. प्रकाशित2026-03-28
3. संशोधित2026-03-30
4. EPSS अद्यतन2026-04-04

localGPT की निरंतर डिलीवरी (रोलिंग रिलीज़) प्रकृति के कारण, कोई विशिष्ट पैच अपडेट उपलब्ध नहीं है। अनुशंसित शमन नवीनतम उपलब्ध localGPT संस्करण में अपडेट करना है। यद्यपि विशिष्ट संस्करणों को निर्दिष्ट नहीं किया जा सकता है, प्रत्येक नए रिलीज़ में सुरक्षा सुधार शामिल होने चाहिए। इसके अतिरिक्त, विश्वसनीय उपयोगकर्ताओं और नेटवर्क तक localGPT इंस्टेंस तक पहुंच को सीमित करने की अनुशंसा की जाती है। संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी संभावित हमलों का पता लगाने और उनका जवाब देने में भी मदद कर सकती है। नवीनतम अपडेट और सर्वोत्तम सुरक्षा प्रथाओं के बारे में जानकारी के लिए विक्रेता से संपर्क करने की दृढ़ता से अनुशंसा की जाती है।