CVE-2026-33340 in lollms-webui
Zusammenfassung
von VulDB • 25.05.2026
LoLLMs WEBUI stellt die Web-Benutzeroberfläche für Lord of Large Language and Multi modal Systems bereit. In allen bekannten, bestehenden Versionen von `lollms-webui` wurde eine kritische Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert. Der Endpunkt `@router.post("/api/proxy")` ermöglicht es nicht authentifizierten Angreifern, den Server dazu zu zwingen, beliebige GET-Anfragen zu stellen. Dies kann ausgenutzt werden, um auf interne Dienste zuzugreifen, lokale Netzwerke zu scannen oder sensible Cloud-Metadaten (z. B. AWS/GCP IAM-Tokens) zu exfiltrieren. Zum Zeitpunkt der Veröffentlichung sind keine bekannten gepatchten Versionen verfügbar.
If you want to get best quality of vulnerability data, you may have to visit VulDB.