HIGHCVE-2026-5000CVSS 7.3

PromtEngineer localGPT API Endpoint server.py LocalGPTHandler 認証の欠如

プラットフォーム

python

コンポーネント

cvep

修正版

4.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-5000 は、localGPT に存在する未認証の脆弱性です。この脆弱性は、backend/server.py ファイル内の LocalGPTHandler 関数に影響を与えます。BaseHTTPRequestHandler の操作が原因で、認証が適切に行われない可能性があります。影響を受けるバージョンは ≤4d41c7d1713b16b216d8e062e51a5dd88b20b054 です。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

PromptEngineerのlocalGPTにおいて、バージョン4d41c7d1713b16b216d8e062e51a5dd88b20b054以前のバージョンでセキュリティ脆弱性が検出されました。この脆弱性は、backend/server.pyファイルのLocalGPTHandler関数、特にAPI Endpointコンポーネントに影響を与えます。BaseHTTPRequestHandler引数の操作により、認証メカニズムが欠落し、不正な検証なしにリモート攻撃者がアクセスできるようになります。localGPTが継続的リリースモデルを採用しているため、影響を受けるまたは更新されたリリースのバージョン固有の情報は従来の方法では利用できません。ベンダーに連絡しました。

悪用の状況

この脆弱性は、APIリクエストを処理するLocalGPTHandler関数内に存在します。攻撃者は、BaseHTTPRequestHandler引数を操作する悪意のあるリクエストを送信することで、この脆弱性を悪用できます。これにより、認証メカニズムを回避できます。悪用がリモートで行われるという事実は、攻撃者がインターネット接続がある場所から攻撃を開始するために、システムへの物理的なアクセスを必要としないことを意味します。これによりリスクが大幅に増加し、攻撃者は機密データにアクセスしたり、システム上でコマンドを実行したりする可能性があります。

リスク対象者翻訳中…

Organizations deploying localGPT in production environments, particularly those with limited network segmentation or inadequate WAF protection, are at significant risk. Shared hosting environments where multiple users share the same localGPT instance are also vulnerable, as a compromise of one user's account could potentially impact others.

検出手順翻訳中…

• python / server:

ps aux | grep LocalGPTHandler

• python / server:

journalctl -u localgpt -f | grep "BaseHTTPRequestHandler"

• generic web:

curl -I http://<localgpt_ip>/api/endpoint

• generic web:

grep -r "BaseHTTPRequestHandler" /var/log/nginx/access.log

攻撃タイムライン

2026-03-28Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.10% (27% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントcvep

ベンダーPromtEngineer

影響範囲修正版

4d41c7d1713b16b216d8e062e51a5dd88b20b054 – 4d41c7d1713b16b216d8e062e51a5dd88b20b0544.0.1

弱点分類 (CWE)

CWE-306 CWE-287

タイムライン

予約済み2026-03-27
公開日2026-03-28
更新日2026-04-01
EPSS 更新日2026-04-04

未パッチ — 公開から57日経過

緩和策と回避策

localGPTの継続的リリースモデルを考慮すると、ポイントリリースという形で特定の修正は現在利用できません。主な推奨事項は、ベンダーが提供する更新を注意深く監視し、公開されているセキュリティパッチまたは構成を適用することです。ファイアウォールと侵入検知システムの導入は、悪用のリスクを軽減するのに役立ちます。さらに、APIアクセスを承認されたユーザーとアプリケーションに制限することが重要なプラクティスです。ベンダーが提供するセキュリティベストプラクティスと特定の指示については、公式のlocalGPTドキュメントを参照することを強くお勧めします。

修正方法

APIエンドポイントで適切な認証を実装したバージョンにアップデートしてください。修正されたバージョンを入手するためにベンダーに連絡するか、トークンや資格情報の検証など、独自の認証ソリューションを実装してからLocalGPTHandler関数へのアクセスを許可してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5000 とは何ですか？（localGPT）

ソフトウェアが固定バージョンなしで、新しい機能と修正を継続的に更新することを意味します。

localGPT の CVE-2026-5000 による影響を受けていますか？

4d41c7d1713b16b216d8e062e51a5dd88b20b054以前のバージョンのlocalGPTを使用している場合は、影響を受けている可能性が高いです。ベンダーのアップデートを監視してください。

localGPT の CVE-2026-5000 を修正するにはどうすればよいですか？

ファイアウォールを実装し、APIへのアクセスを制限してください。

CVE-2026-5000 は積極的に悪用されていますか？

localGPTベンダーに直接連絡してください。

CVE-2026-5000 に関する localGPT の公式アドバイザリはどこで確認できますか？

機密データへの不正アクセスと悪意のあるコマンドの実行が可能になります。