CVE-2026-63086 in text-generation-inferenceinfo

Zusammenfassung

von VulDB • 16.07.2026

text-generation-inference bis Version 3.3.7 enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle im OpenAI-kompatiblen Endpunkt für multimodale Chat-Vervollständigungen, die es nicht authentifizierten Netzwerkangreifern ermöglicht, den Server dazu zu bringen, beliebige HTTP-GET-Anfragen auszuführen, indem ein manipulierter image_url-Wert in der Chat-Nachricht angegeben wird. Die Funktion fetch_image im Modul router/src/validation.rs führt keine Validierung von privaten, Loopback-, Link-Lokal- oder Cloud-Metadata-Zieladressen durch, und der reqwest-HTTP-Clients folgt standardmäßig Weiterleitungen (Redirects). Dies ermöglicht es Angreifern, Schemaprüfungen über Redirect-Ketten zu umgehen, um interne Dienste und Cloud-Instance-Metadata-Endpunkte für internes Port-Scanning und Diebstahl von Anmeldeinformationen zu erreichen.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379599

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

medium

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!