CVE-2026-63086 in text-generation-inference
الملخص
بحسب VulDB • 16/07/2026
يحتوي text-generation-inference حتى الإصدار 3.3.7 على ثغرة تزوير الطلبات من جانب الخادم (SSRF) في نقطة نهاية إكمال الدردشة متعددة الوسائط المتوافقة مع OpenAI، مما يسمح لمهاجمين عبر الشبكة غير المصادق عليهم بإجبار الخادم على إصدار طلبات HTTP GET تعسفية عن طريق توفير قيمة image_url مُعدّة خصيصاً ضمن محتوى رسالة الدردشة. لا تقوم دالة fetch_image الموجودة في router/src/validation.rs بأي تحقق من صحة عناوين الوجهة الخاصة أو حلقة العودة المحلية (loopback) أو محلية الرابط (link-local) أو بيانات تعريف السحابة، ويتبع عميل HTTP reqwest إعادة التوجيه بشكل افتراضي، مما يمكّن المهاجمين من تجاوز فحوصات المخطط عبر سلاسل إعادة التوجيه للوصول إلى الخدمات الداخلية ونقاط نهاية بيانات التعريف الخاصة بالمثيلات السحابية لإجراء مسح للموانئ الداخلية وسرقة البيانات الاعتمادية.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.