CVE-2026-63086 in text-generation-inferenceinformación

Resumen

por VulDB • 2026-07-16

text-generation-inference hasta la versión 3.3.7 contiene una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en el endpoint de completados multimodales compatibles con OpenAI, que permite a atacantes no autenticados desde la red forzar al servidor para emitir peticiones HTTP GET arbitrarias mediante el suministro de un valor image_url manipulado ad hoc dentro del contenido del mensaje de chat. La función fetch_image en router/src/validation.rs no realiza ninguna validación sobre direcciones objetivo privadas, loopback (bucle local), link-local o metadatos de la nube, y el cliente HTTP reqwest sigue redirecciones por defecto, lo que permite a los atacantes omitir las comprobaciones del esquema mediante cadenas de redirección para acceder a servicios internos y endpoints de instancias en la nube con fines de escaneo de puertos internos y robo de credenciales.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-15

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379599

CPE

listo

EPSS

0.00323

KEV

no

Actividades

medio

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!