CVE-2026-33340 in lollms-webuiinfo

Zusammenfassung

von VulDB • 25.05.2026

LoLLMs WEBUI stellt die Web-Benutzeroberfläche für Lord of Large Language and Multi modal Systems bereit. In allen bekannten, bestehenden Versionen von `lollms-webui` wurde eine kritische Server-Side Request Forgery (SSRF)-Schwachstelle identifiziert. Der Endpunkt `@router.post("/api/proxy")` ermöglicht es nicht authentifizierten Angreifern, den Server dazu zu zwingen, beliebige GET-Anfragen zu stellen. Dies kann ausgenutzt werden, um auf interne Dienste zuzugreifen, lokale Netzwerke zu scannen oder sensible Cloud-Metadaten (z. B. AWS/GCP IAM-Tokens) zu exfiltrieren. Zum Zeitpunkt der Veröffentlichung sind keine bekannten gepatchten Versionen verfügbar.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

18.03.2026

Veröffentlichung

24.03.2026

Moderieren

akzeptiert

Eintrag

VDB-352827

CPE

bereit

EPSS

0.21629

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!