CVE-2026-63086 in text-generation-inferenceالمعلومات

الملخص

بحسب VulDB • 16/07/2026

يحتوي text-generation-inference حتى الإصدار 3.3.7 على ثغرة تزوير الطلبات من جانب الخادم (SSRF) في نقطة نهاية إكمال الدردشة متعددة الوسائط المتوافقة مع OpenAI، مما يسمح لمهاجمين عبر الشبكة غير المصادق عليهم بإجبار الخادم على إصدار طلبات HTTP GET تعسفية عن طريق توفير قيمة image_url مُعدّة خصيصاً ضمن محتوى رسالة الدردشة. لا تقوم دالة fetch_image الموجودة في router/src/validation.rs بأي تحقق من صحة عناوين الوجهة الخاصة أو حلقة العودة المحلية (loopback) أو محلية الرابط (link-local) أو بيانات تعريف السحابة، ويتبع عميل HTTP reqwest إعادة التوجيه بشكل افتراضي، مما يمكّن المهاجمين من تجاوز فحوصات المخطط عبر سلاسل إعادة التوجيه للوصول إلى الخدمات الداخلية ونقاط نهاية بيانات التعريف الخاصة بالمثيلات السحابية لإجراء مسح للموانئ الداخلية وسرقة البيانات الاعتمادية.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

VulnCheck

حجز

15/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379599

EPSS

0.00000

KEV

لا

النشاطات

متوسط

المصادر

Do you know our Splunk app?

Download it now for free!