CVE-2026-33340 in lollms-webuiinformación

Resumen

por MITRE • 2026-03-24

LoLLMs WEBUI proporciona la interfaz de usuario web para Lord of Large Language and Multi modal Systems. Una vulnerabilidad crítica de falsificación de petición del lado del servidor (SSRF) ha sido identificada en todas las versiones existentes conocidas de 'lollms-webui'. El endpoint '@router.post("/api/proxy")' permite a atacantes no autenticados forzar al servidor a realizar peticiones GET arbitrarias. Esto puede ser explotado para acceder a servicios internos, escanear redes locales o exfiltrar metadatos sensibles de la nube (p. ej., tokens IAM de AWS/GCP). A la fecha de publicación, no hay versiones parcheadas conocidas disponibles.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-18

Divulgación

2026-03-24

Moderación

aceptado

Artículo

VDB-352827

CPE

listo

EPSS

0.21629

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!