Escanear grátis
HIGHCVE-2026-5001CVSS 7.3

PromtEngineer localGPT server.py do_POST upload irrestrito

Plataforma

python

Componente

cvep

Corrigido em

4.0.1

AI Confidence: highNVDEPSS 0.1%Revisado: mar. de 2026
Ver no NVD
Salvar

A vulnerabilidade CVE-2026-5001 afeta o localGPT, em versões até 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Ela permite o upload irrestrito de arquivos através da função do_POST. A exploração pode ser feita remotamente. No official patch available.

Python

Detecte esta CVE no seu projeto

Envie seu arquivo requirements.txt e descubra na hora se você está afetado.

Enviar requirements.txtFormatos suportados: requirements.txt · Pipfile.lock

Impacto e Cenários de Ataque

Uma vulnerabilidade de segurança foi identificada no localGPT da PromptEngineer, especificamente na função do_POST do arquivo backend/server.py, até a versão 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Esta vulnerabilidade permite o upload irrestrito de arquivos, o que pode permitir que um atacante remoto carregue arquivos maliciosos no sistema. Devido à estratégia de lançamento contínuo (rolling release) do localGPT, versões específicas afetadas ou atualizadas não podem ser especificadas. Isso significa que qualquer instância que utilize uma versão anterior à correção é potencialmente vulnerável. A publicação de um exploit público aumenta o risco de ataques.

Contexto de Exploração

A vulnerabilidade permite o upload irrestrito de arquivos através de uma solicitação HTTP POST. Um atacante remoto pode explorar esta vulnerabilidade enviando uma solicitação POST com um arquivo malicioso. A falta de validação na função do_POST permite que o arquivo seja carregado sem verificação de tipo ou tamanho. A disponibilidade pública do exploit facilita a exploração por atacantes com diferentes níveis de habilidade técnica. A natureza remota da exploração significa que o atacante não precisa de acesso físico ao sistema afetado.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

EPSS

0.05% (percentil 16%)

CISA SSVC

Exploraçãonone
Automatizávelyes
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:X/RC:R7.3HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityLowRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Baixo — o atacante pode modificar alguns dados com alcance limitado.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componentecvep
FornecedorPromtEngineer
Faixa afetadaCorrigido em
4d41c7d1713b16b216d8e062e51a5dd88b20b054 – 4d41c7d1713b16b216d8e062e51a5dd88b20b0544.0.1

Classificação de Fraqueza (CWE)

CWE-434CWE-284

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado
Sem correção — 57 dias desde a divulgação

Mitigação e Soluções Alternativas

Devido à natureza de lançamento contínuo do localGPT, não há uma atualização de patch específica disponível. A mitigação recomendada é atualizar para a versão mais recente disponível do localGPT o mais rápido possível. Embora versões específicas não possam ser especificadas, cada nova versão deve incluir correções de segurança. Além disso, recomenda-se limitar o acesso à instância do localGPT a usuários e redes confiáveis. Monitorar os logs do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. Recomenda-se fortemente entrar em contato com o fornecedor para obter informações sobre as últimas atualizações e as melhores práticas de segurança.

Como corrigir

Atualize para uma versão corrigida do localGPT que solucione a vulnerabilidade de upload irrestrito. Como o fornecedor não respondeu, é recomendável revisar o código-fonte e aplicar um patch manualmente ou procurar uma alternativa.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-5001 em localGPT?

Significa que o software é continuamente atualizado com novas versões em vez de lançamentos principais periódicos.

Estou afetado pelo CVE-2026-5001 no localGPT?

Devido ao modelo de 'rolling release', é difícil determinar a versão exata. Atualizar para a versão mais recente disponível é a melhor maneira de mitigar o risco.

Como corrijo o CVE-2026-5001 no localGPT?

Qualquer tipo de arquivo, incluindo executáveis, scripts maliciosos ou arquivos que possam comprometer a integridade do sistema.

O CVE-2026-5001 está sendo explorado ativamente?

Desconecte o sistema da rede, altere as senhas e entre em contato com um profissional de segurança cibernética para avaliação e limpeza.

Onde encontro o aviso oficial do localGPT para o CVE-2026-5001?

Limitar o acesso à instância do localGPT e monitorar os logs do servidor são medidas temporárias que podem ajudar a reduzir o risco.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs