Plataforma
python
Componente
cvep
Corrigido em
4.0.1
A CVE-2026-5000 descreve uma vulnerabilidade de autenticação ausente no localGPT, especificamente na função LocalGPTHandler do arquivo backend/server.py. A manipulação do argumento BaseHTTPRequestHandler permite a execução de ataques remotos sem autenticação. A vulnerabilidade afeta versões até 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Não há patch oficial disponível.
Uma vulnerabilidade de segurança foi detectada no localGPT da PromptEngineer até a versão 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Esta vulnerabilidade afeta a função LocalGPTHandler no arquivo backend/server.py, especificamente o componente do endpoint da API. A manipulação do argumento BaseHTTPRequestHandler resulta em uma falta de autenticação, permitindo que um atacante remoto obtenha acesso sem a devida verificação. Devido ao modelo de lançamento contínuo do localGPT, informações de versão específicas sobre as versões afetadas ou atualizadas não estão disponíveis de forma tradicional. O fornecedor foi contatado.
A vulnerabilidade reside na função LocalGPTHandler, que gerencia as solicitações da API. Um atacante pode explorar esta vulnerabilidade enviando solicitações maliciosas que manipulem o argumento BaseHTTPRequestHandler, contornando assim os mecanismos de autenticação. O fato de a exploração ser remota significa que um atacante não precisa de acesso físico ao sistema para comprometê-lo. Isso aumenta significativamente o risco, pois um atacante pode lançar ataques de qualquer lugar com conexão à Internet. A falta de autenticação permite que o atacante acesse dados confidenciais ou execute comandos no sistema, o que pode ter consequências graves.
Organizations deploying localGPT in production environments, particularly those with limited network segmentation or inadequate WAF protection, are at significant risk. Shared hosting environments where multiple users share the same localGPT instance are also vulnerable, as a compromise of one user's account could potentially impact others.
• python / server:
ps aux | grep LocalGPTHandler• python / server:
journalctl -u localgpt -f | grep "BaseHTTPRequestHandler"• generic web:
curl -I http://<localgpt_ip>/api/endpoint• generic web:
grep -r "BaseHTTPRequestHandler" /var/log/nginx/access.logdisclosure
Status do Exploit
EPSS
0.10% (percentil 27%)
CISA SSVC
Vetor CVSS
Devido à natureza de lançamento contínuo do localGPT, não há uma correção específica disponível na forma de uma atualização de versão pontual. A recomendação principal é monitorar de perto as atualizações fornecidas pelo fornecedor e aplicar quaisquer patches ou configurações de segurança que sejam publicados. A implementação de firewalls e sistemas de detecção de intrusão pode ajudar a mitigar o risco de exploração. Além disso, restringir o acesso à API apenas a usuários e aplicativos autorizados é uma prática crucial. Recomendamos fortemente revisar a documentação oficial do localGPT para obter as melhores práticas de segurança e quaisquer instruções específicas fornecidas pelo fornecedor.
Atualize para uma versão posterior à especificada no CVE que implemente autenticação adequada no endpoint da API. Dado que não há uma versão fixa específica mencionada, recomenda-se contactar o fornecedor para obter uma versão corrigida ou implementar medidas de segurança adicionais, como autenticação e autorização, no endpoint afetado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que o software é constantemente atualizado com novos recursos e correções, sem versões fixas.
Se você estiver usando uma versão do localGPT anterior à 4d41c7d1713b16b216d8e062e51a5dd88b20b054, é provável que você esteja afetado. Monitore as atualizações do fornecedor.
Implemente firewalls e restrinja o acesso à API.
Entre em contato diretamente com o fornecedor do localGPT.
Permite o acesso não autorizado a dados confidenciais e a execução de comandos maliciosos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.