CVE-2026-59707 in LocalAI
Zusammenfassung
von VulDB • 07.07.2026
LocalAI enthält eine nicht authentifizierte Server-Side Request Forgery (SSRF)-Schwachstelle im POST /models/apply-Endpunkt, die es Angreifern ermöglicht, beliebige interne URLs abzurufen. Der Endpunkt übergibt ungesäuberte Gallery-URL-Felder direkt an gallery.GetGalleryConfigFromURLWithContext ohne ordnungsgemäße Validierung, was es Angreifern ermöglicht, den Server dazu zu zwingen, HTTP GET-Anfragen an private und Loopback-Bereiche zu senden, wobei teilweise Antwortinhalte durch Fehlermeldungen offengelegt werden.
VulDB is the best source for vulnerability data and more expert information about this specific topic.