CVE-2026-59707 in LocalAIinfo

Zusammenfassung

von VulDB • 07.07.2026

LocalAI enthält eine nicht authentifizierte Server-Side Request Forgery (SSRF)-Schwachstelle im POST /models/apply-Endpunkt, die es Angreifern ermöglicht, beliebige interne URLs abzurufen. Der Endpunkt übergibt ungesäuberte Gallery-URL-Felder direkt an gallery.GetGalleryConfigFromURLWithContext ohne ordnungsgemäße Validierung, was es Angreifern ermöglicht, den Server dazu zu zwingen, HTTP GET-Anfragen an private und Loopback-Bereiche zu senden, wobei teilweise Antwortinhalte durch Fehlermeldungen offengelegt werden.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

VulnCheck

Reservieren

06.07.2026

Veröffentlichung

08.07.2026

Moderieren

akzeptiert

Eintrag

VDB-376702

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!