CVE-2025-62364 in text-generation-webui
Résumé
par VulDB • 06/06/2026
text-generation-webui est une interface web open-source pour l'exécution de grands modèles de langage (LLM). Dans les versions jusqu'à la 3.13, une vulnérabilité d'inclusion de fichier local (LFI) existe dans la fonctionnalité de téléchargement d'images de personnage. Un attaquant peut télécharger un fichier texte contenant un lien symbolique vers un chemin de fichier arbitraire. Lorsque l'application traite le téléchargement, elle suit le lien symbolique et sert le contenu du fichier ciblé via l'interface web. Cela permet à un attaquant non authentifié de lire des fichiers sensibles sur le serveur, exposant potentiellement les configurations système, les identifiants et d'autres informations confidentielles. Cette vulnérabilité est corrigée dans la version 3.14. Aucune solution de contournement connue n'existe.
If you want to get best quality of vulnerability data, you may have to visit VulDB.