プラットフォーム
python
コンポーネント
cvep
修正版
4.0.1
CVE-2026-5002 は、localGPT に存在するインジェクションの脆弱性です。この脆弱性は、backend/server.py ファイル内の routeusing_overviews 関数に影響を与えます。この脆弱性により、攻撃者は悪意のあるコードを注入できる可能性があります。影響を受けるバージョンは ≤4d41c7d1713b16b216d8e062e51a5dd88b20b054 です。現時点では公式な修正パッチは提供されていません。
PromptEngineerのlocalGPTにおいて、ファイルbackend/server.pyの関数routeusing_overviewsにインジェクションの脆弱性が発見されました。この脆弱性はCVE-2026-5002として分類されており、リモートの攻撃者がアプリケーションを操作することを可能にします。CVSSの深刻度は7.3であり、高いリスクを示しています。この脆弱性は、入力のサニタイズが不十分であることに起因し、悪意のあるコードのインジェクションを可能にします。localGPTは継続的なリリースシステムを使用しているため、影響を受けるバージョンの情報は動的であり、特定が困難な場合があります。公式な修正プログラムが提供されていないにもかかわらず、利用可能になり次第、更新を監視し、修正プログラムを適用することが重要です。
localGPTのCVE-2026-5002は、routeusing_overviews関数における入力検証の欠如により、リモートエクスプロイトを可能にします。攻撃者は、悪意のあるコードを挿入するために特別に作成されたリクエストを送信することができ、そのコードはサーバーによって実行される可能性があります。この脆弱性が公に開示されたことは、攻撃者がエクスプロイト方法に関する情報にアクセスできる可能性があるため、エクスプロイトのリスクを高めています。localGPTの継続的なデリバリーアーキテクチャは、バージョン管理とパッチ適用を複雑にし、絶え間ない警戒とセキュリティアップデートへの迅速な対応が必要です。
Organizations and individuals utilizing localGPT for local LLM prompting are at risk. This includes developers experimenting with LLMs, researchers building custom applications, and anyone relying on localGPT for sensitive tasks. The rolling release model means that even users who believe they are running the latest version may still be vulnerable if they have not implemented appropriate mitigation strategies.
• python: Monitor the backend/server.py file for unauthorized modifications. Use file integrity monitoring tools to detect changes.
Get-ChildItem -Path "C:\path\to\localGPT\backend\server.py" -Recurse | Get-FileHash | Where-Object {$_.Hash -ne "<original_hash>"} • generic web: Examine access logs for unusual requests targeting the LLM Prompt Handler endpoint. Look for patterns indicative of injection attempts.
grep -i "injection|malicious" /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.06% (18% パーセンタイル)
CISA SSVC
CVE-2026-5002に対する公式な修正プログラムが存在しないため、主な軽減策は、localGPTアプリケーションを信頼できないネットワークへの露出を制限することです。インジェクションの脆弱性を特定して修正するために、ソースコードをレビューすることを強くお勧めします。データ検証やエスケープなどの厳格な入力制御を実装することで、エクスプロイトを防止するのに役立ちます。アプリケーションログを監視して、疑わしいアクティビティがないか確認することも重要なプラクティスです。解決策がリリースされるまで、現在の機能に不可欠でない場合は、routeusing_overviews関数を一時的に無効にすることを検討してください。公式な修正プログラムがないことは、セキュリティデューデリジェンスの重要性を強調しています。
影響を受けるバージョン以降にアップデートしてください。特定の修正バージョンは言及されていないため、localGPTプロジェクトの最新の利用可能なバージョンを入手することをお勧めします。
脆弱性分析と重要アラートをメールでお届けします。
これはこのセキュリティ脆弱性のためのユニークな識別子です。
古いバージョンを使用している場合、リモート攻撃に対して脆弱になる可能性があります。
現在、公式な修正プログラムは公開されていません。更新を監視することをお勧めします。
アプリケーションを信頼できないネットワークへの露出を制限し、セキュリティアップデートに関する情報を入手してください。
localGPTコミュニティフォーラムとセキュリティウェブサイトで最新情報を確認してください。
CVSS ベクトル
requirements.txt ファイルをアップロードすると、影響の有無を即座にお知らせします。