Plataforma
python
Componente
cvep
Corrigido em
4.0.1
A vulnerabilidade CVE-2026-5001 afeta o localGPT, em versões até 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Ela permite o upload irrestrito de arquivos através da função do_POST. A exploração pode ser feita remotamente. No official patch available.
Uma vulnerabilidade de segurança foi identificada no localGPT da PromptEngineer, especificamente na função do_POST do arquivo backend/server.py, até a versão 4d41c7d1713b16b216d8e062e51a5dd88b20b054. Esta vulnerabilidade permite o upload irrestrito de arquivos, o que pode permitir que um atacante remoto carregue arquivos maliciosos no sistema. Devido à estratégia de lançamento contínuo (rolling release) do localGPT, versões específicas afetadas ou atualizadas não podem ser especificadas. Isso significa que qualquer instância que utilize uma versão anterior à correção é potencialmente vulnerável. A publicação de um exploit público aumenta o risco de ataques.
A vulnerabilidade permite o upload irrestrito de arquivos através de uma solicitação HTTP POST. Um atacante remoto pode explorar esta vulnerabilidade enviando uma solicitação POST com um arquivo malicioso. A falta de validação na função do_POST permite que o arquivo seja carregado sem verificação de tipo ou tamanho. A disponibilidade pública do exploit facilita a exploração por atacantes com diferentes níveis de habilidade técnica. A natureza remota da exploração significa que o atacante não precisa de acesso físico ao sistema afetado.
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
Devido à natureza de lançamento contínuo do localGPT, não há uma atualização de patch específica disponível. A mitigação recomendada é atualizar para a versão mais recente disponível do localGPT o mais rápido possível. Embora versões específicas não possam ser especificadas, cada nova versão deve incluir correções de segurança. Além disso, recomenda-se limitar o acesso à instância do localGPT a usuários e redes confiáveis. Monitorar os logs do servidor em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. Recomenda-se fortemente entrar em contato com o fornecedor para obter informações sobre as últimas atualizações e as melhores práticas de segurança.
Atualize para uma versão corrigida do localGPT que solucione a vulnerabilidade de upload irrestrito. Como o fornecedor não respondeu, é recomendável revisar o código-fonte e aplicar um patch manualmente ou procurar uma alternativa.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que o software é continuamente atualizado com novas versões em vez de lançamentos principais periódicos.
Devido ao modelo de 'rolling release', é difícil determinar a versão exata. Atualizar para a versão mais recente disponível é a melhor maneira de mitigar o risco.
Qualquer tipo de arquivo, incluindo executáveis, scripts maliciosos ou arquivos que possam comprometer a integridade do sistema.
Desconecte o sistema da rede, altere as senhas e entre em contato com um profissional de segurança cibernética para avaliação e limpeza.
Limitar o acesso à instância do localGPT e monitorar os logs do servidor são medidas temporárias que podem ajudar a reduzir o risco.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.