Platform
python
Component
cvep
Opgelost in
4.0.1
CVE-2026-5001 beschrijft een kwetsbaarheid in localGPT die onbeperkt uploaden mogelijk maakt. Dit kan leiden tot remote code execution. De getroffen versies zijn ≤4d41c7d1713b16b216d8e062e51a5dd88b20b054. Er is geen officiële patch beschikbaar, dus mitigatie is vereist.
Een beveiligingslek is gevonden in localGPT van PromptEngineer, specifiek in de functie do_POST van het bestand backend/server.py, tot versie 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Dit lek maakt ongebeperkt bestandsupload mogelijk, waardoor een externe aanvaller mogelijk kwaadaardige bestanden op het systeem kan uploaden. Aangezien localGPT een rolling release-strategie hanteert, kunnen specifieke getroffen of bijgewerkte versies niet worden gespecificeerd. Dit betekent dat elke instantie die een versie vóór de correctie gebruikt, mogelijk kwetsbaar is. De publicatie van een exploit verhoogt het risico op aanvallen.
De kwetsbaarheid maakt ongebeperkt bestandsupload mogelijk via een HTTP POST-verzoek. Een externe aanvaller kan dit uitbuiten door een POST-verzoek te sturen met een kwaadaardig bestand. Het ontbreken van validatie in de functie do_POST maakt het mogelijk dat het bestand wordt geüpload zonder type- of groottetest. De publieke beschikbaarheid van de exploit vergemakkelijkt de uitbuiting door aanvallers met verschillende technische vaardigheden. De externe aard van de exploitatie betekent dat de aanvaller geen fysieke toegang tot het getroffen systeem nodig heeft.
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
Vanwege de continuous delivery (rolling release) aard van localGPT is er geen specifiek patch-update beschikbaar. De aanbevolen mitigatie is om zo snel mogelijk te updaten naar de nieuwste beschikbare versie van localGPT. Hoewel specifieke versies niet kunnen worden gespecificeerd, zou elke nieuwe release beveiligingscorrecties moeten bevatten. Bovendien wordt aanbevolen om de toegang tot de localGPT-instantie te beperken tot vertrouwde gebruikers en netwerken. Het monitoren van serverlogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op mogelijke aanvallen. Het wordt ten zeerste aanbevolen om de leverancier te contacteren voor informatie over de nieuwste updates en best practices voor beveiliging.
Update naar een gecorrigeerde versie van localGPT die de onbeperkte uploadkwetsbaarheid oplost. Aangezien de leverancier niet heeft gereageerd, wordt aanbevolen om de broncode te bekijken en handmatig een patch toe te passen of een alternatief te zoeken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het betekent dat de software continu wordt bijgewerkt met nieuwe versies in plaats van periodieke grote releases.
Vanwege het 'rolling release'-model is het moeilijk om de exacte versie te bepalen. Updaten naar de nieuwste beschikbare versie is de beste manier om het risico te beperken.
Elk type bestand, waaronder uitvoerbare bestanden, kwaadaardige scripts of bestanden die de integriteit van het systeem kunnen in gevaar brengen.
Koppel het systeem los van het netwerk, wijzig wachtwoorden en neem contact op met een cybersecurityprofessional voor beoordeling en opschoning.
Het beperken van de toegang tot de localGPT-instantie en het monitoren van serverlogs zijn tijdelijke maatregelen die kunnen helpen om het risico te verminderen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.